Vulnerabilitatea programului Yahoo Messenger – remediată

Articol postat de:

yahoo

Yahoo a identificat, in programul de mesagerie instantanee Yahoo Messenger, o vulnerabilitate care da unei persoane posibilitatea teoretica de a controla calculatoarele altor utilizatori, a anuntat ieri compania. Riscul apare daca o persoana rau-intentionata convinge un utilizator sa viziteze o pagina de internet al carei cod HTML a fost modificat astfel incat sa permita accesul la calculatorul vizitatorului. In acest fel, un atacator ar putea sa instaleze programe pe un alt PC fara stirea posesorului, ceea ce i-ar da acces la informatiile de pe acel computer. Toate versiunile Yahoo Messenger pentru Windows mai vechi de 13 martie 2007 expun proprietarii calculatoarelor la riscul de a fi vizitati in mod neautorizat. Vulnerabilitatea este cauzata de o eroare de programare in fisierul yacscom.dll, care face parte din controlul ActiveX AudioConf si care este expus unui atac de tip buffer overflow. Yahoo recomanda utilizatorilor sa descarce gratuit o versiune actualizata de pe site-ul companiei sau sa accepte actualizarea automata a programului in cazul in care softul le va cere acest lucru.

Pentru unii distractie, pentru altii vulnerabilitate
Marea majoritate a persoanelor care folosesc Yahoo Messenger au folosit, de asemenea, cel putin odata pe un detector de invizibil pentru Yahoo! Messenger (invisible detector, invisible scanner, yahoo scanner sau cum sunteti voi obisnuiti sa le spuneti). Aceste servicii adunau  pe domeniile lor zeci de mii de utilizatori unici zilnic. Se pune intrebarea cum o companie atat de mare precum Yahoo  nu a intervenit? Prima varinata poate fi considerat ca este vorba de un bug, pentru ca utilizatorii nu se puteau folosi de un serviciu oferit iar cea de a doua varianta este ca ar putea fi vorba de o vulnerabilitate pentru ca “atacatorii” se foloseau de slabiciunile protocolului YMSG pentru a afla o informatie pe care nu ar fi trebuit sa o stie.

In timp au existat multe vulnerabilitati ce permiteau detectearea utilizatoriilor cu optiunea de invizibil. Cea mai recenta se baza pe simpla optiune  a Yahoo! Messenger de a atribui o imagine id-ului (avatar).  Atacatorii se foloseau de pachetul 0xBE din protocolul YMSG ce facea o cerere catre id-ul victima in care cere avatarul. Daca utilizatorul era online, clientul trimitea(fara a cere permisiunea utilizatorului) raspuns atacatorului. Intermedierea era facuta de catre serverele Yahoo!. Aceasta metoda a functionat timp de ani de zile fiind intr-un sfarsit oprita in 2011.

Yahoo a fost instiintata de prezenta acestei vulnerabilitati si a incercat in cateva randuri sa le repare, dar de fiecare data au fost opriti de designul protocolului de comunicare. Nu puteau face schimbari majore in protocol fara ca ele sa nu aiba efect in cascada asupra altor elemente din protocol si asupra clientului. O solutie ar fi fost lansarea unui client nou care sa foloseasca un protocol nou, insa pentru asta era nevoie de o investitie majora in programarea sa si a serverelor, care fie trebuiau programate sa suporte ambele protocoale (extrem de costisitor), fie trebuiau sa baneze clientii precedenti (ce ducea la pierderea de utilizatori). A fost nevoie de mai mult de zece ani de zile, peste 10 upgradeuri la protocolul de comunicare si peste 5 versiuni de clienti pentru a repara o eroare ce putea fi eliminata fara niciun cost daca era descoperita in momentul in care designul protocolului a fost scris.

In concluzie detectoarele precum ydetector, imvisible, persiangap, vizgin, yahooscan si restul nu mai functioneaza, si foarte probabil nu vor mai functiona mult timp de acum incolo. Asa ca de acum utilizatorii pot sa stea linistiti acunsi.

Sursa: Yahoo


Add Comment Register



Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *


*

Poți folosi aceste etichete HTML și atribute: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>