Falla grave per Yahoo Messenger e Trillian

Tre vulnerabilità, nessuna patch: Yahoo Messenger e Trillian sono due client per l’instant messagging che da qualche ora rappresentano un serio pericolo per gli utenti in quanto vari bug sono stati certificati senza che alcun aggiornamento sia stato nè distribuito, nè comunicato. Le parti in causa stanno presumibilmente indagando sull’accaduto ed al momento nessuna notifica è giunta a confermare le scoperte emerse.

Yahoo Messenger soffre di un bug ad alta pericolosità tale per cui è possibile mandare in crash il client con buffer overflow eseguendo potenzialmente codice sul sistema vittima. La scoperta è accreditata a Rajesh Sethumadhavan, colui il quale ne ha pubblicati i dettagli sulla Full Disclosure mailing list.

Trillian soffre di due diverse vulnerabilità, entrambe confermate per l’ultima versione 3.1.6.0. Secunia (SA26086) ha giudicato i problemi come estremamente critici segnalando come tramite apposito exploit sia possibile eseguire codice sulla macchina da remoto. Il problema di Trillian è concentrato in particolare negli URI di tipo aim://, con vulnerabilità che viene così messa in diretta similitudine con l’ultimo bug scoperto su Firefox ed attaccabile da Internet Explorer. La scoperta dei problemi di sicurezza del client Cerulean Studios è firmata Nate Mcfeters, Billy Rios e Raghav Dube.