Újabb hibajavítás a Yahoo üzenőprogramjában

Tóth Kristóf, 2003. december 8. 09:07
A Yahoo üzenőprogramjában egy hete felfedezett biztonsági hibához adott ki javítást. A társaság bejelentése szerint a biztonsági hibát a C-ben és C++-ban írt programokban gyakori hiba, a puffertúlcsordulás okozza: az adott memóriaterülethez tárolókapacitásánál nagyobb adatmennyiséget lehet hozzárendelni.

Az üzenőprogram puffertúlcsordulásához egyéb hibák is kapcsolódhatnak, mint például a felhasználótól független kijelentkezés, a böngésző lefagyása, és lehetővé válik futtatható kód bevitele is. Ez utóbbi okozhatja a legnagyobb kárt, hiszen a kód segítségével egy rosszindulatú programozó átveheti az irányítást a gép felett, fájlokat törölhet le, és kedvére garázdálkodhat az áldozat számítógépén.

A Yahoo közleménye szerint az üzenőt használóknak csupán néhány százalékát érinti a probléma, azokat, akik az Explorer biztonsági beállításait "közepes" szintről "alacsony" szintre állították. A társaság azt állítja továbbá, hogy a támadónak még ebben az esetben is rá kell vennie áldozatát a kártékony HTML kód futtatására, és ezt a leggyakrabban úgy teheti meg, ha az üzenőprogramban a kártékony kódot tartalmazó weboldal URL-jét küldi el. Az Explorer biztonsági beállításait "alacsony" szintre állításakor a böngésző figyelmezteti a felhasználót, hogy ez a szint "egyáltalán nem biztonságos". A Yahoo azt állítja, még nem hallott a pufferhiba kihasználásával végrehajtott sikeres támadásról.

A Yahoo új csevegőprogramjának kiadása után négy nappal adtak először hírt egy online biztonsági fórumon. A társaság szóvivője szerint azonnal elkezdték a hiba kijavítását és az érintettek értesítését. A Yahoo csevegőprogramjának gyakori frissítését ajánlja, hogy a felhasználók védve legyenek az ehhez hasonló hibáktól.

A Yahoo még az év elején adott ki javítófoltot üzenőprogramjának a mostanival majdnem teljesen megegyező hibájára.