Security Lab

Неавторизованное изменение данных в Yahoo! Messenger

Дата публикации:05.12.2011
Всего просмотров:2241
Опасность:
Средняя
Наличие исправления: Нет
Количество уязвимостей:1
CVSSv2 рейтинг: 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:H/RL:U/RC:C)
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Неавторизованное изменение данных
CWE ID: Нет данных
Наличие эксплоита: Активная эксплуатация уязвимости
Уязвимые продукты: Yahoo! Messenger 11.x
Уязвимые версии: Yahoo! Messenger 11.5.0.152-us, возможно другие версии

Описание:
Уязвимость позволяет удаленному пользователю выполнить неавторизованное изменение данных.

Уязвимость существует из-за недостаточной обработки входных данных в функционале загрузки файлов. Удаленный пользователь может с помощью специально сформированного сообщения, содержащего iframe, изменить статус жертвы на произвольное сообщение.

URL производителя: http://messenger.yahoo.com/

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: http://www.malwarecity.com/blog/new-yahoo-messenger-0-day-exploit-hijacks-users-status-update-1229.html