W Yahoo! Messenger wykryto dziury

W programie Yahoo! Messenger analitycy wykryli dwie luki. Jedna z nich umożliwia podmianę nazwy ładowanego pliku. Znajduje się ona w obszarze wyświetlania długich nazw plików w oknie dialogowym ładowania. Zdalny użytkownik może tworzyć pliki, zawierające dużą ilość spacji oraz dwa rozszerzenia i oszukać ofiarę.

Druga luka pozwala na zwiększenie swoich uprawnień w systemie dzięki zastosowaniu programu ping.exe podczas fazy testowania połączenia przy instalowaniu programu. Luka znajduje się w Audio Setup Wizard (asw.dll). Użytkownik lokalny może stworzyć plik ping.exe w katalogu instalacyjnym Yahoo! Messenger i uruchamiać go z prawami użytkownika, który zainstalował aplikację.

Luki nie są bardzo groźne. Znajdują się w wersji Yahoo! Messenger 6.0.0.1750 oraz wcześniejszych. W celu wykorzystania omawianych luk został stworzony exploit. Eksperci ds. bezpieczeństwa IT radzą zainstalowanie odpowiedniej łaty od producenta programu.

Źródło: Labolatorium DrWEB