13:07
seccion9-seguridad
Ha sido descubierta una nueva vulnerabilidad zero-day en Yahoo! Messenger que permite a un atacante cambiar el mensaje de estado de un usuario.
De acuerdo con investigadores de Bitdefender, el exploit consiste en enviar un archivo que, mediante la manipulación del parámetro InlineAction de Yahoo! Messenger, carga un iFrame que permite al atacante reemplazar el mensaje de estado del usuario por uno personalizado.
Esto no sería un gran problema si no fuera porque los cibercriminales también tienen la posibilidad de adjuntar un enlace junto al texto. El atacante puede aprovechar este campo para redireccionar a un sitio web que explote una vulnerabilidad en los componentes más comunes como Flash o Java, o simplemente redirigir a la descarga de un programa maligno.
Hasta ahora no hay ninguna solución para el problema, por lo que todos los usuarios de Yahoo! Messenger 11.x son vulnerables. Sin embargo, se puede reducir el riesgo de ataques activando una opción en la aplicación que permite ignorar todos los mensajes de personas que no estén en la lista de contactos.
0 comentarios:
Publicar un comentario