Российские эксперты обнаружили уязвимости в программе обмена мгновенными сообщениями Yahoo! Messenger. Одна уязвимость позволяет подменить имя загружаемого файла, она находится в области отображении длинных имен файлов в диалоговом окне загрузки. Удаленный пользователь может создать имя файла, содержащее большое количество пробелов и два расширения и обмануть пользователя. Другая «дыра» позволяет повысить свои права в системе благодаря использованию утилиты ping.exe во время фазы тестирования соединения при установке программы. Уязвимость находится в Audio Setup Wizard (asw.dll). Локальный пользователь может создать файл ping.exe в установочном каталоге Yahoo! Messenger и выполнить его с привилегиями пользователя, устанавливающего приложение. Уязвимости имеют рейтинг опасности «низкая». Им подвержены версии Yahoo! Messenger 6.0.0.1750 и более ранние. Для использования указанных «дыр» уже создан эксплоит. Эксперты по ИТ-безопасности советуют установить соответствующий патч от производителя программы, сообщил Securitylab.
SecurityLab