Grave vulnerabilità in Yahoo Widget

Yahoo è stato probabilmente il primo gruppo che, dopo aver investito su una piattaforma antecedente (Konfabulator), ha lanciato in grande stile il proprio progetto per portare i Widget sul desktop. Lo strumento è poi stato ripetuto e surclassato dalla paritetica offerta Google e dalle nuove funzioni di Windows Vista, ma la piattaforma Yahoo rimane tra le più interessanti e più fiorenti sul mercato. Ora Yahoo Widget giunge ad una nuova release a causa di un problema di sicurezza.

Secunia (SA26011) ha giudicato il problema come estremamente critico accreditando la scoperta del tutto a Parvez Anwar. La descrizione della vulnerabilità giunge direttamente sul sito ufficiale Yahoo, ove il bug è attribuito ad un controllo ActiveX (YDPCTL.YDPControl.1 in YDPCTL.dll) il cui exploit aprirebbe all’esecuzione di codice da remoto. La vulnerabilità stessa è stata confermata fino alla versione 4.0.3.

Yahoo ha immediatamente messo a disposizione un nuovo installer utile ad accedere alla versione immune 4.0.5 disponibile tanto per Windows (anche Vista), quanto per Mac OS X. 12.3Mb il peso dell’installer in entrambe le versioni.