Scoperte vulnerabilità critiche in Yahoo Messenger e Trillian.
Alcuni ricercatori di sicurezza hanno scoperto alcune vulnerabilità
critiche all’interno di due popolari software per la messaggistica istantanea:
Yahoo Messenger e Trillian.
Il problema scoperto nel prodotto di Yahoo,
è determinato da un errore di buffer overflow che può essere sfruttato, da parte
di un aggressore, spronando l’utente ad aprire un file della rubrica modificato
ad arte.
Yahoo Messenger andrà immediatamente in crash non appena si
troverà a gestire il file modificato in modo da far leva sulla vulnerabilità.
Secondo l’esperto Rajesh Sethumadhavan, un malintenzionato potrebbe
essere anche in grado di eseguire codice potenzialmente dannoso avendo così la
possibilità, ad esempio, di utilizzare il sistema vittima come “spam bot” oppure
di installarvi un keylogger. Yahoo non ha al momento rilasciato alcuna patch
risolutiva per il problema.
Per quanto riguarda Trillian, le
vulnerabilità appena messe a nudo riguardano la gestione del particolare URI
(“Uniform Resource Identifier”) aim://.
Secondo i ricercatori hanno
isolato il problema, si tratterebbe di qualcosa molto simile alla vulnerabilità
cross-browser che ha coinvolto, settimana scorsa, Firefox ed Internet Explorer.
“Questa vulnerabilità mostra il pericolo che risiede nel passare
parametri non opportunamente filtrati a quei programmi che utilizzano
particolari URI “registrati” sul sistema“, è il commento degli esperti.
Secunia conferma che il problema è presente anche in Trillian 3.1.6.0 (l’ultima
versione del client di messaggistica) classificando la vulnerabilità come
“altamente critica”.
Al momento Cerulean Studios, azienda sviluppatrice
di Trillian, non dà indicazioni sulle tempistiche con cui la lacuna di sicurezza
sarà sanata.
