Corretta una falla di sicurezza in Yahoo Assistant

di Alessandro Vinciarelli

scritto il

Spesso Yahoo Assistant, un plugin per Internet Explorer, è stato al centro di critiche e dubbi, proprio perché i detrattori ne calunniavano l’effettiva efficacia.

Tra l’altro l’ironia della sorte vuole che questo software venisse identificato come malware o spyware da altri software di protezione e che quindi offrisse su un piatto d’argento la possibilità di screditarlo.

Ad ogni modo Yahoo Assistant contiene numerose caratteristiche interessanti come la funzione di “IE settings repair”, di security shield, di rimozione delle informazioni di navigazione e di blocco dei pop-up.

Yahoo ha recentemente e “silenziosamente” aggiornato con una patch le vulnerabilità critiche che potevano mettere a rischio gli utenti che avessero installato questo add-on per il browser Internet Explorer.

In particolare la falla afferiva alla tecnologia ActiveX, in accordo con quanto di dichiarato un ricercatore presso i Nevis Labs, e “permetteva agli attaccanti di eseguire codice arbitrario sulle installazioni vulnerabili”.

Nella fattispecie, in accordo con gli alert riportati, durante il processo di istallazione dell’Ynotifier COM object attraverso Internet Explorer, è presente una condizione di corruzione della memoria utilizzabile in modo malizioso, per esempio attraverso l’inclusione di un codice ad-hoc che permette l’exploit. In questo modo l’attaccante può sfruttare questa vulnerabilità per eseguire qualsiasi codice in modo arbitrario.