QR code per la pagina originale

Grave vulnerabilità in Yahoo Widget

Una grave vulnerabilità è stata segnalata da Yahoo nel contesto del proprio Yahoo Widget. L'installer è stato sostituito per accedere alla versione 4.0.5 che corregge il bug con cui si aprivano le porte ad una esecuzione di codice da remoto

,

Yahoo è stato probabilmente il primo gruppo che, dopo aver investito su una piattaforma antecedente (Konfabulator), ha lanciato in grande stile il proprio progetto per portare i Widget sul desktop. Lo strumento è poi stato ripetuto e surclassato dalla paritetica offerta Google e dalle nuove funzioni di Windows Vista, ma la piattaforma Yahoo rimane tra le più interessanti e più fiorenti sul mercato. Ora Yahoo Widget giunge ad una nuova release a causa di un problema di sicurezza.

Secunia (SA26011) ha giudicato il problema come estremamente critico accreditando la scoperta del tutto a Parvez Anwar. La descrizione della vulnerabilità giunge direttamente sul sito ufficiale Yahoo, ove il bug è attribuito ad un controllo ActiveX (YDPCTL.YDPControl.1 in YDPCTL.dll) il cui exploit aprirebbe all’esecuzione di codice da remoto. La vulnerabilità stessa è stata confermata fino alla versione 4.0.3.

Yahoo ha immediatamente messo a disposizione un nuovo installer utile ad accedere alla versione immune 4.0.5 disponibile tanto per Windows (anche Vista), quanto per Mac OS X. 12.3Mb il peso dell’installer in entrambe le versioni.