Yahoo! Messenger не защищен, и компании это не важно

Main_Yahoo

Компания Yahoo! отличается ленью и нежеланием исправлять собственные ошибки. Даже когда ей эти ошибки приносят «на блюдечке». Подтверждением этому факту может являться история, которую придал гласности эксперт по вопросам информационной безопасности Жульен Аренс (Julian Arens). Он рассказал, что еще в мае прошлого, 2014 года, сообщил в компанию о найденной им уязвимости, однако в компании отказались заниматься проблемой, сославшись на тот факт, что продукт не поддерживается.

Yahoo! Messenger не защищен, и компании это не важно

И это при том, что уязвимость весьма серьезная. Брешь переполнения буфера CVE-2014-7216 позволяет удаленно выполнить код, получив при этом такой уровень прав, как и владелец взломанного устройства. Для того, чтобы стать жертвой этой уязвимости, пользователю надо скачать определенным образом подобранный набор «самых новых» эмодзи.

Yahoo! Messenger не защищен, и компании это не важно

Авторизировавшись и проверив доступность новых изображений, пользователь подставляется под удар злоумышленника. Приложение не совсем корректно проверяет длины строки ссылки, а также ключевые значения названия. Такая недоработка приводит к переполнению буфера, что, в свою очередь, запускает удаленное выполнение злокозненного кода.

Yahoo! Messenger не защищен, и компании это не важно

Более, чем год спустя после сообщения, компания разрешила Аренсу опубликовать информацию об уязвимости, сообщив при этом, что не будет ею заниматься и исправлять.

Учитывая безумную и глобальную популярность всяческих изображений среди пользователей мессенджеров, как и вообще любых коммуникационных приложений, оценить потенциал этой опасности несложно: он огромен!

Поделиться:
1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5,00 out of 5)
Loading...Loading...

Комментариев: 4

  • ВиталикСен 14, 2015 в 8:17

    Ну дают! Интересно, многие пользователи знают про проблему, ведь наверняка большинство даже и не догадываются про нее.

    Ответить
  • CardСен 14, 2015 в 9:50

    А что значит приложение не поддерживается? Они больше ничего с ним не делают? Отказались от него?

    Ответить
  • ВадимСен 15, 2015 в 9:20

    Неожиданный ход….Может решили, что антипиар- тоже пиар…

    Ответить
  • PotikaСен 15, 2015 в 17:54

    Действительно, зачем заниматься исправлением своих ошибок. Не царское это дело)

    Ответить
Оставить комментарий