Con este son tres los problemas graves resueltos por Yahoo! Messenger 8.x en los últimos dos meses. A primeros de junio se anunciaba sin duda la que hasta ahora es la vulnerabilidad más grave descubierta en el programa. Permitía ejecución de código con sólo visitar una página web con Internet Explorer (esta vez bajo cualquier dominio) y se publicó un exploit funcional cuando todavía no existía parche.
Hace solo dos semanas, se anunciaba otro problema grave en Yahoo! Messenger que permitía ejecución de código. En este caso el atacante debía enviar una invitación de cámara web y la víctima aceptarla. Este fallo, descubierto por investigadores chinos, se trasladó hasta las versiones 7.x del programa de mensajería instantánea de Microsoft, y resultó (por otras vías) vulnerable a un error parecido en la funcionalidad de webcam. Microsoft no se ha pronunciado todavía al respecto.
Malos tiempos, sin duda, para los programas de mensajería instantánea.
Para este último fallo en Yahoo!, la versión de la librería afectada es la 2007.8.27.1, incluida en todas las versiones de Yahoo! descargadas antes del día 29 de agosto. Se recomienda actualizar lo antes posible a la última versión desde http://messenger.yahoo.com/download.php
Más información:
Yahoo Messenger YVerInfo.dll ActiveX Multiple Remote Buffer Overflow Vulnerabilities
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=591
28/08/2007 Vulnerabilidad en función webcam de Microsoft Messenger 7.x
http://www.hispasec.com/unaaldia/3230
17/08/2007 Vulnerabilidad crítica en Yahoo! Messenger
http://www.hispasec.com/unaaldia/3219
11/06/2007 Grave vulnerabilidad en Yahoo! Messenger (y prueba de concepto)
http://www.hispasec.com/unaaldia/3152
Laboratorio Hispasec
