Una grave vulnerabilità è stata scoperta nell’instant messenger made in Yahoo. Un eventuale exploit potrebbe permettere ad un malintenzionato di sfruttare il bug per prendere il controllo del sistema da remoto e Secunia ha pertanto consegnato un giudizio di alta criticità del pericolo incombente (SA24742). L’instant messenger sarebbe coinvolto dal problema in tutte le versioni dalla 5.x alla 8.0.
Il problema è stato identificato nel componente yacscom.dll e la scoperta è stata accreditata a Peter Vreugdenhil tramite ZID (Zero Day Initiative). Yahoo ha immediatamente confermato il problema mettendo inoltre a disposizione la nuova versione del client. Installando la nuova 8.1, dunque, l’utente vede risolto ogni problema.
Un eventuale exploit sarebbe stato affondato forzando la lettura di apposito codice HTML, il quale avrebbe potuto essere dunque proposto tanto attraverso una pagina web, quanto attraverso l’invio di una apposita e-mail. Nei casi in cui il problema attanaglia un instant messenger non è insolito un attacco mirato tramite il network dell’IM stesso, approfittando delle minori barriere psicologiche dell’utente ed aggirando la diffidenza con messaggi amichevoli che propongono la visita dei siti web in grado di affondare l’attacco.
Yahoo specifica che l’update sarà notificato a tutti gli utenti al primo login, così che le versioni vulnerabili vengano sollecitamente sostituite dalla nuova release.