Yahoo fixe une autre vulnérabilité de débordement d'amortisseur dans le messager
Sévérité : Milieu
30 août 2007
Résumé :
Hier en retard, Yahoo a libéré une mise à jour qui fixe une vulnérabilité de sécurité affectant n'importe quelle version de Yahoo! Messager installé avant le 29 août 2007. En attirant Yahoo! L'utilisateur de messager dans visiter une page Web malveillante, un attaquant peut exploiter cette nouvelle paille pour exécuter le code sur l'ordinateur de cet utilisateur, et gagne probablement la pleine commande de elle. Si vous employez Yahoo! Le messager dans votre réseau, ou suspectent que vos utilisateurs l'aient installé, enlevez-le ou installent la dernière version.
Exposition :
Yahoo! Le messager est l'une des nombreuses applications instantanées de transmission de messages qui permettent à des utilisateurs d'envoyer les messages en temps réel et instantanés entre eux au-dessus de l'Internet. La transmission de messages instantanée est assez populaire que vos utilisateurs pourraient avoir installé Yahoo! Le client de messager sur un ordinateur de compagnie si votre politique l'autorise.
Hier, Yahoo a libéré bulletin de renseignements décrire a vulnérabilité de débordement d'amortisseur dans une commande d'ActiveX qui se transporte avec toutes les versions précédentes de Yahoo! Messager. La paille de débordement d'amortisseur se situe spécifiquement dans la commande d'ActiveX appelée le YVerInfo.dll. En dupant un de votre Yahoo! Les utilisateurs de messager dans visiter une page Web avec malveillance ouvrée, un attaquant pourraient exploiter cette paille pour exécuter le code sur l'ordinateur de votre utilisateur, avec les privilèges de votre utilisateur. Si l'utilisateur a des privilèges administratifs locaux, l'attaquant pourrait gagner la commande totale de la machine de l'utilisateur.
Si vous lisiez Fil de WatchGuard, vous pouvez se rappeler notre poteau au sujet d'une vulnérabilité semblable dans Yahoo! Messager, provoqué par une paille dans une commande d'ActiveX de webcam. Yahoo fixe cette paille aussi bien, la semaine dernière. En installant ce Yahoo! Mise à jour de messager, vous fixez cette nouvelle vulnérabilité et celle-là plus ancienne.
Chemin de solution :
Même si votre organisation n'approuve pas officiellement l'utilisation de la transmission de messages instantanée sans garantie, les employés persistent parfois dans l'essai de partir furtivement le logiciel instantané de transmission de messages sur des machines de compagnie. Si vous suspectez certains de vos utilisateurs ont installé Yahoo! Le messager, considèrent l'expédition un avertissement au sujet de cette vulnérabilité à tous utilisateurs sur votre réseau. Si votre politique de compagnie réclame l'utilisation de la transmission de messages instantanée, vous devriez téléchargement et installez la dernière version de Yahoo! Messager (8.1.0.41 9).
Pour tous les utilisateurs :
Cette attaque voyage en tant que trafic normal-regardant de HTTP, que vous devez permettre ainsi vos utilisateurs de réseau peuvent accéder au World Wide Web. Par conséquent, l'installation de la mise à jour de Yahoo est votre meilleure solution.
Statut :
Yahoo a libéré une mise à jour pour fixer cette vulnérabilité.
Références :
Written by bardissi. Read more great feeds at is source WEBSITE
no comments.
Read more articles on Watchguard and Non-Profits and Yahoo Messenger and Student Computing and Non-Profit Technology and Windows XP and Business Computer Support and Home Computer Support and Windows Vista.
- [+] Digg: Feature this article
- [+] Del.icio.us: Bookmark this article
- [+] Furl: Bookmark this article
