Yahoo schließt Sicherheitslücke im Widgets-Paket

Ein Pufferüberlauf in einem mitinstallierten ActiveX-Control der Vorversionen ermöglichst unter Umständen die Kaperung des Rechners beim Besuch manipulierter Webseiten.

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Christiane Rütten

Mit der neuen Version 4.0.5 der Yahoo! Widgets für Windows behebt der Hersteller eine kritische Schwachstelle. Ist eine ältere Version der Helferlein-Software installiert, können Angreifer Nutzern des Internet Explorers beim Besuch manipulierter Webseiten unter Umständen beliebigen Schadcode unterschieben. Laut Sicherheitsdienstleister Secunia kommt es im YDP-ActiveX-Control (YDPCTL.dll) zu einem Pufferüberlauf, wenn die Funktion GetComponentVersion() einen mehr als 512 Zeichen langen Parameter übergeben bekommt. Secunia stuft die Schwachstelle als hoch kritisch ein.

Das Yahoo-Widgets-Paket verfügt über einen automatischen Mechanismus, der die Verfügbarkeit der neuen Version anzeigt. Herunterladen und installieren müssen Anwender das 12 MByte große Paket allerdings selbst. Yahoo gibt an, dass alle Versionen der Software, die vor dem 20. Juli von der Yahoo-Seite heruntergeladen wurden, das verwundbare ActiveX-Control enthalten. Der Hersteller empfiehlt allen Anwendern, umgehend zu aktualisieren.

Siehe dazu auch:

(cr)