W programie Yahoo! Messenger analitycy wykryli dwie luki. Jedna z nich umożliwia podmianę nazwy ładowanego pliku. Znajduje się ona w obszarze wyświetlania długich nazw plików w oknie dialogowym ładowania. Zdalny użytkownik może tworzyć pliki, zawierające dużą ilość spacji oraz dwa rozszerzenia i oszukać ofiarę.
Druga luka pozwala na zwiększenie swoich uprawnień w systemie dzięki zastosowaniu programu ping.exe podczas fazy testowania połączenia przy instalowaniu programu. Luka znajduje się w Audio Setup Wizard (asw.dll). Użytkownik lokalny może stworzyć plik ping.exe w katalogu instalacyjnym Yahoo! Messenger i uruchamiać go z prawami użytkownika, który zainstalował aplikację.
Luki nie są bardzo groźne. Znajdują się w wersji Yahoo! Messenger 6.0.0.1750 oraz wcześniejszych. W celu wykorzystania omawianych luk został stworzony exploit. Eksperci ds. bezpieczeństwa IT radzą zainstalowanie odpowiedniej łaty od producenta programu.
Źródło: Labolatorium DrWEB
W Yahoo! Messenger wykryto dziury
Zabezpieczenia |
Śr, 23 Luty 2005 04:27:17 +0100 |
Autor:
Redakcja
| Czytań: 2946
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9640 pkt.
2
grzemach 870 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
Localghost 140 pkt.
6
kris2005a 140 pkt.
7
elmocamp 100 pkt.
8
Tommy 100 pkt.
9
Scoti 80 pkt.
10
sevar 60 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.