La società di sicurezza Secunia ha illustrato attraverso l’advisory SA28757 alcune vulnerabilità insite nel programma Yahoo Music Jukebox, lo strumento gratuito grazie al quale risulta possibile riprodurre brani musicali, masterizzare CD e ascoltare alcune radio via Web. Le falle sono state etichettate come ‘altamente critiche‘, il livello di allarme più alto nella scala di valori utilizzati da Secunia. Per il momento non risulta disponibile alcuna patch correttiva.
Si tratta nello specifico di un “boundary error” presente nel controllo ActiveX YMP DataGrid (datagrid.dll) quando di tratta di gestire gli argomenti passati ai metodi AddImage() e AddButton() e nel controllo ActiveX Yahoo Mediagrid (mediagridax.dll) relativamente al metodo AddBitmap() ; utilizzando un argomento più lungo rispetto al normale, utenti malintenzionati possono sfruttare tale errore per provocare uno stack-based buffer overflow.
Sfruttare con successo tali e exploit permette l’esecuzione di codice arbitrario all’interno dei computer delle vittime nel caso quest’ultime visitino un sito Web malevolo. Secunia avverte inoltre della presenza in Internet di numerosi esempi di codice sfruttabile per eseguire l’exploit, fattore in grado di rendere particolarmente facile l’implementazione di tale tipologia di attacchi da parte dei cybercriminali.
Le vulnerabilità, confermate per il momento solamente nella versione 2.2.2.056 di Yahoo Music Jukebox (ma che potrebbero coinvolgere anche altre versioni), sono state rilevate dal ricercatore polacco Krystian Kloskowski, il quale ha pubblicato un esempio di exploit tramite buffer overflow per quanto riguarda i metodi AddButton() e AddBitmap().
Le vulnerabilità, pur rimanendo altamente critiche, perdono un tantino della loro carica a causa dell’intenzione da parte del motore di ricerca di dirottare nei prossimi mesi gli utenti di Yahoo! Music su Rhapsody America. Le recenti avance da parte di Microsoft all’intera piattaforma di ricerca rendono ancora più nebuloso il futuro del servizio musicale offerto da Yahoo.