Tiện ích bổ sung của Yahoo bị khai thác để chế ngự PC

Người sử dụng dịch vụ Yahoo cài thêm những phần mềm miễn phí widget như báo thời tiết, giá cả xăng dầu... đang gặp rủi ro vì kẻ tấn công từ xa có thể chạy mã độc trên PC của họ thông qua một lỗ hổng được đặt ở mức "nghiêm trọng".

Hãng bảo mật Secunia (Đan Mạch) cho biết điều này xảy ra do lỗi trong trình điều khiển ActiveX bản YDPCTL.dll 2007.4.13 khi xử lý quy trình 'GetComponentVersion()'. Nếu kẻ tấn công đưa một chuỗi ký tự lớn hơn 512 byte qua hệ thống bị khai thác, chúng sẽ gây ra hiện tượng tràn bộ nhớ đệm, sau đó thực thi các mã nhị phân trên máy.

Secunia cho rằng dù lỗi được xác nhận trong phiên bản Yahoo Widgets 4.0.3, các bản Yahoo Widgets khác cũng có thể bị ảnh hưởng. Người sử dụng tự bảo vệ bằng cách cập nhật phiên bản Yahoo Widgets mới nhất 4.0.5 tại đây.

Widget là các phần mềm cài thêm để nhận thông tin ngay trên desktop của người dùng, từ các bản tin radio đến lịch, game, giá chứng khoán...