Yahoo! отказалась исправлять опасную уязвимость в своем мессенджере

Брешь переполнения буфера позволяет злоумышленнику удаленно выполнить код.
ИБ-эксперт Жульен Аренс (Julien Ahrens) сообщил об уязвимости в приложении для обмена мгновенными сообщениями Yahoo! Messenger, которую компания не намерена исправлять. По словам исследователя, брешь переполнения буфера CVE-2014-7216 позволяет злоумышленнику удаленно выполнить код. Несмотря на опасность уязвимости, Yahoo! не спешит выпускать исправления, поскольку мессенджер больше не поддерживается компанией.
Эксплуатация бреши возможна, когда жертва устанавливает на свое устройство новые эмотиконы. Учитывая, что «улыбочки» пользуются огромной популярностью у пользователей, этот вектор атак может представлять серьезную угрозу безопасности. Заставив жертву инсталлировать специальным образом сконфигурированный набор эмотиконов, злоумышленник получает те же права, что и владелец устройства.
Аренс пояснил, что мессенджер загружает контент файла emoticons.xml из двух разных директорий, когда пользователь авторизуется для того, чтобы проверить доступность новых эмотиконов и ссылок на них. Проблема заключается в том, что приложение некорректно проверяет длину строки ссылки и ключевые значения названия. Это может вызвать переполнение буфера и, как результат, привести к удаленному выполнению кода.
По словам Аренса, он сообщил Yahoo! о бреши еще в мае прошлого года. В прошлом месяце компания разрешила исследователю раскрыть подробности об уязвимости, заявив, что не будет ее исправлять.

Новости безопасности   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор Yahoo! отказалась исправлять опасную уязвимость в своем мессенджере, в разделе Новости безопасности вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  Обзор портативного Hi-Res плеера FiiO M6 - 19.02.2019: STFW.Ru: Компания FiiO решила закончить 2018 год на хорошей ноте, выпустив без всякой


•  Украинский monobank открыл возможность получать зарплаты и выплаты ФОП на свои кредитные карты, возмещая комиссию за снятие наличных - 19.02.2019: STFW.Ru: В украинском «мобильном банке» monobank запустили новый проект для субъектов


•  Стали известны цены на различные версии смартфона Xiaomi Mi 9, специальное издание Mi 9 Explorer Edition оценили в $885! - 19.02.2019: STFW.Ru: В последние несколько дней интернет буквально наводнили новости


•  Смартфон Samsung Galaxy A50 полностью рассекречен, он станет вторым смартфоном компании после флагмана Galaxy S10 с подэкранным сканером отпечатков пальцев - 19.02.2019: STFW.Ru: Еще на прошлой неделе в сети появились достаточно подробные технические


•  Новый миниатюрный робот-гуманоид Sharp RoBoHoN не умеет ходить, но зато стоит всего $715 - 19.02.2019: STFW.Ru: Миловидные роботы из Японии продолжают свое наступление. Не так давно Sony


•  Киберполиция прикрыла офис финансовых мошенников, которые выманивали деньги под видом инвестиций в бинарные опционы - 19.02.2019: STFW.Ru: Киберполиция прекратила деятельность офиса, работники которого выманивали