Yahoo! Widgets: corretta potenziale falla

Massimo Rabbi | 31 luglio 2007 | 08:37

La nuova versione 4.0.5 di Yahoo! Widgets per Windows fixa una vulnerabilità critica.
La presenza di versioni precedenti del software puo’ essere sfruttata per infettare gli utenti Internet Explorer che visitano pagine web manipolate con codice malevole.
Stando alle ricerche effettuate da Secunia, si verificherebbe un buffer overflow nel controllo ActiveX YPD (YPPCTL.ddl) se alla funzione GetComponentVersion() viene passato un parametro di dimensione superiore a 512 caratteri.
Secunia ha classificato il problema come “highly critical”.

Nonostante Yahoo! Widgets indichi in maniera automatica la disponibilità di nuove versioni, gli utenti devono scaricare e installare “manualmente” il nuovo pacchetto.
Stando al comunicato di Yahoo! tutte le versioni del software scaricate in data precedente al 20 luglio contengono il controllo ActiveX vulnerabile.
Aggiornamento ultra-consigliato!

LINKS:

  • Yahoo! Widgets YDP ActiveX Control Buffer Overflow Vulnerability, advisory su Secunia
  • About the July 24, 2007 Security Update, comunicato di Yahoo
  • Yahoo fixes security vulnerability in Widgets package, news by Heise-Security

    • Categorie
    Sicurezza, Software
    Commenti RSS
    Commenti RSS
    Trackback
    Trackback

    « »

    Leave a Reply