Una vulnerabilidad en Yahoo! Widgets Engine, puede permitir a un atacante remoto la ejecución arbitraria de código en el contexto de una aplicación que utilice controles ActiveX (típicamente Internet Explorer).
a explotación de esta
vulnerabilidad, igualmente podría producir una denegación de
servicio (la aplicación relacionada o el propio navegador, dejaría
de responder).
Los widgets (o gadgets), son pequeñas aplicaciones o programas
diseñados para proveer de información o mejorar una aplicación o
servicios de una computadora, o bien cualquier tipo de interacción
a través de Internet, por ejemplo información en tiempo real del
clima, etc. Yahoo! utiliza para su ejecución su propio motor de
Widgets (o Widget Engine).
El problema lo origina un error de límites en la comprobación de
los datos proporcionados por las aplicaciones al motor, lo que
puede provocar un desbordamiento de búfer en el control ActiveX
YDPCTL.DLL utilizado por Yahoo! Widget Engine.
Es vulnerable la versión 4.0.3 (build 178) y posiblemente también
las anteriores.
Se ha publicado en Internet una prueba de concepto del exploit.
Se sugiere a los usuarios de los Widgets de Yahoo! a instalar la
versión más reciente del motor (4.0.5 o superior), desde el
siguiente enlace:
Yahoo! Widgets
widgets.yahoo.com/
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
I'm not easily impressed. . . but that's impersisng me! :)