Yahoo schließt Sicherheitslücke im Widgets-Paket
Ein Pufferüberlauf in einem mitinstallierten ActiveX-Control der Vorversionen ermöglichst unter Umständen die Kaperung des Rechners beim Besuch manipulierter Webseiten.
- Christiane Rütten
Mit der neuen Version 4.0.5 der Yahoo! Widgets für Windows behebt der Hersteller eine kritische Schwachstelle. Ist eine ältere Version der Helferlein-Software installiert, können Angreifer Nutzern des Internet Explorers beim Besuch manipulierter Webseiten unter Umständen beliebigen Schadcode unterschieben. Laut Sicherheitsdienstleister Secunia kommt es im YDP-ActiveX-Control (YDPCTL.dll) zu einem Pufferüberlauf, wenn die Funktion GetComponentVersion() einen mehr als 512 Zeichen langen Parameter übergeben bekommt. Secunia stuft die Schwachstelle als hoch kritisch ein.
Das Yahoo-Widgets-Paket verfügt über einen automatischen Mechanismus, der die Verfügbarkeit der neuen Version anzeigt. Herunterladen und installieren müssen Anwender das 12 MByte große Paket allerdings selbst. Yahoo gibt an, dass alle Versionen der Software, die vor dem 20. Juli von der Yahoo-Seite heruntergeladen wurden, das verwundbare ActiveX-Control enthalten. Der Hersteller empfiehlt allen Anwendern, umgehend zu aktualisieren.
Siehe dazu auch:
- Yahoo! Widgets YDP ActiveX Control Buffer Overflow Vulnerability, Advisory von Secunia
- About the July 24, 2007 Security Update, Informationen von Yahoo
(cr)