Grave vulnerabilità in Yahoo Widget

Una grave vulnerabilità è stata segnalata da Yahoo nel contesto del proprio Yahoo Widget. L’installer è stato sostituito per accedere alla versione 4.0.5 che corregge il bug con cui si aprivano le porte ad una esecuzione di codice da remoto

Yahoo è stato probabilmente il primo gruppo che, dopo aver investito su una piattaforma antecedente (Konfabulator), ha lanciato in grande stile il proprio progetto per portare i Widget sul desktop. Lo strumento è poi stato ripetuto e surclassato dalla paritetica offerta Google e dalle nuove funzioni di Windows Vista, ma la piattaforma Yahoo rimane tra le più interessanti e più fiorenti sul mercato. Ora Yahoo Widget giunge ad una nuova release a causa di un problema di sicurezza.

Secunia (SA26011) ha giudicato il problema come estremamente critico accreditando la scoperta del tutto a Parvez Anwar. La descrizione della vulnerabilità giunge direttamente sul sito ufficiale Yahoo, ove il bug è attribuito ad un controllo ActiveX (YDPCTL.YDPControl.1 in YDPCTL.dll) il cui exploit aprirebbe all’esecuzione di codice da remoto. La vulnerabilità stessa è stata confermata fino alla versione 4.0.3.

Yahoo ha immediatamente messo a disposizione un nuovo installer utile ad accedere alla versione immune 4.0.5 disponibile tanto per Windows (anche Vista), quanto per Mac OS X. 12.3Mb il peso dell’installer in entrambe le versioni.

Ti potrebbe interessare