Mit der neuen Version 4.0.5 der Yahoo! Widgets für Windows (
http://widgets.yahoo.com/ ) behebt der Hersteller eine kritische Schwachstelle. Ist eine ältere Version der Helferlein-Software installiert, können Angreifer Nutzern des Internet Explorers beim Besuch manipulierter Webseiten unter Umständen beliebigen Schadcode unterschieben. Laut Sicherheitsdienstleister Secunia kommt es im YDP-ActiveX-Control (YDPCTL.dll) zu einem Pufferüberlauf, wenn die Funktion GetComponentVersion() einen mehr als 512 Zeichen langen Parameter übergeben bekommt.
Allerdings ist das YDP-ActiveX-Control, das Teil des mit den Widgets installierten Install-Managers ist, in der Registry nicht als "Safe for Scripting" markiert. Damit sich die Schwachstelle ausnutzen lässt, muss ein Anwender demzufolge in den Sicherheitseinstellungen der Internet-Zone ausdrücklich zulassen, dass ActiveX-Steuerlemente initialisiert und ausgeführt werden dürfen, die nicht sicher für Scripting sind. Die Standardeinstellung des IE ist, deren Ausführung nicht zu gestatten. Selbst in der Sicherheitsstufe "Sehr niedrig" würde der IE vor der Ausführung solcher Skripte nachfragen.
Das Yahoo-Widgets-Paket verfügt über einen automatischen Mechanismus, der die Verfügbarkeit der neuen Version anzeigt. Herunterladen und installieren müssen Anwender das 12 MByte große Paket allerdings selbst. Yahoo gibt an, dass alle Versionen der Software, die vor dem 20. Juli von der Yahoo-Seite heruntergeladen wurden, das verwundbare ActiveX-Control enthalten. Der Hersteller empfiehlt allen Anwendern, umgehend zu aktualisieren.
Quelle :
www.heise.de
