지난 번에 야후 메신저에서 웹 캠에 관련된 문제점이 공개된 것을 알려 드린 적이 있습니다.

관련자료: http://moonslab.com/443

드디어, 패치된 버전이 새로 나왔습니다. 쓰시는 분들은 얼른 업데이트하세요.

다운로드: http://messenger.yahoo.com/security_update.php?id=082107

이러한 소식을 알려진 얼마 되지 않아 오늘 또 새로운 취약점이 발견되었습니다. 이 취약점은 최신 버전의 메신저에서도 나타나는 것으로 알려지고 있습니다.

이 취약점은 YVerinfo.dll 액티브엑스 컨트롤에서 스택에 기반한 버퍼 오버플로 결함으로 공격자가 성공적으로 잇스플로잇한 경우에는 시스템에 공격성 코드를 삽입할 수 있다고 합니다.

버그를 익스플로잇하기 위해서는 yahoo.com에 악성 웹페이지를 개설해야 하며 그러한 방법을 통해 크로스사이트 스크립트 또는 DNS 이름풀이 조작과 같은 기술로 이루어집니다.

야후 메신저 v8.1.0.419 이전 버전에서 발생합니다.

추가정보: iDefense

해결 대안으로는 문제가 발생하는 컨트롤의 CLSID를 변경하는 방법입니다. 자세한 사항은 위의 링크를 참고하세요.

끝.


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    야후 메신저에서 새로운 취약점이 발견되어 사용자의 주의가 요구되고 있다. 이 취약점으로 인해 공격자는 PC에서 프로그램을 실행시킬 수 있다고 한다.

    취약점은 중국의 보안 포럼에서 최초 보고되었으며 야후의 보안 담당자가 공식 확인했다고 합니다.

    아직 이 취약점을 이용하여 공격하는 익스플로잇은 공개되지 않은 상태입니다.

    야후 메신저 8.1.0.413 버전에서 이러한 취약점이 나타납니다. 취약점은 최근에 패치된  웹캠에 관련된 액티브 엑스 컨트롤에 관련된 것과는 별개입니다.

    취약점은 힙 오버플로로 인해 발생하며, 아직 취약점에 대한 보안 패치가 나오지 않았기 때문에 사용자들은 가급적 웹 카메라로 초대하는 기능을 사용하지 말기를 추천하고 있습니다. 또한 TCP 5100포트 아웃바운드 트래픽을 차단하는 것도 좋은 방법이라고 합니다.

    출처: http://www.pcworld.com/article/id,135988-c,instantmessaging/article.html
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory