Fallo en Yahoo! Messenger permite atacar los mensajes de estado

Yamess11

Ha sido descubierta una nueva vulnerabilidad zero-day en Yahoo! Messenger que permite a un atacante cambiar el mensaje de estado de un usuario.

La vulnerabilidad ha sido identificada en todas las versiones de la rama 11.x, entre ellas la más reciente, que irónicamente, incluye como novedad diferentes mejoras para detener el spam y la propagación de software malicioso a través del servicio de mensajería.

De acuerdo con investigadores de Bitdefender, el exploit consiste en enviar un archivo que, mediante la manipulación del parámetro $InlineAction de Yahoo! Messenger, carga un iFrame que permite al atacante reemplazar el mensaje de estado del usuario por uno personalizado. Esto no sería un gran problema si no fuera porque los cibercrminales también tienen la posibilidad de adjuntar un enlace junto al texto.

El atacante puede aprovechar este campo para redireccionar a un sitio web que explote una vulnerabilidad en los componentes más comunes como Flash o Java, o simplemente redirigir a la descarga de un programa maligno. Siendo que los mensajes de estado sólo son compartidos por el usuario con su lista de amigos, las probabilidades de que se haga clic en un enlace son muy altas.

Aunque la propagación de gusanos no es nada nuevo en la red de Yahoo! Messenger, este exploit se caracteriza por no requerir ningún tipo de intervención, de modo que el usuario puede verse afectado y no darse cuenta de ello hasta revisar personalmente su mensaje de estado.

Hasta ahora no hay ninguna solución para el problema, por lo que todos los usuarios de Yahoo! Messenger 11.x son vulnerables. Sin embargo, se puede reducir el riesgo de ataques activando una opción en la aplicación que permite ignorar todos los mensajes de personas que no estén en la lista de contactos. De cualquier forma, es de esperarse que Yahoo! ya está trabajando en una actualización para solventar esta situación.

Scroll al inicio