В Yahoo! Messenger найдены "дыры"
Российские эксперты обнаружили уязвимости в программе обмена мгновенными сообщениями Yahoo! Messenger.Одна уязвимость позволяет подменить имя загружаемого файла, она находится в области отображении длинных имен файлов в диалоговом окне загрузки. Удаленный пользователь может создать имя файла, содержащее большое количество пробелов и два расширения и обмануть пользователя.
Другая «дыра» позволяет повысить свои права в системе благодаря использованию утилиты ping.exe во время фазы тестирования соединения при установке программы. Уязвимость находится в Audio Setup Wizard (asw.dll). Локальный пользователь может создать файл ping.exe в установочном каталоге Yahoo! Messenger и выполнить его с привилегиями пользователя, устанавливающего приложение.
Уязвимости имеют рейтинг опасности «низкая». Им подвержены версии Yahoo! Messenger 6.0.0.1750 и более ранние. Для использования указанных «дыр» уже создан эксплоит. Эксперты по