Yahoo ha lanzado una nueva versión de su cliente de mensajería instantánea para arreglar un par de vulnerabilidades de día cero que permiten a los hackers hacerse con el control de un PC con Windows sin que exista intervención del usuario.

Las vulnerabilidades en los controles ActiveX de la función de Webcam de Messenger fueron descubiertos el miércoles por eEye; en pocas horas un investigador identificado tan sólo como “Danny” había publicado el código de la vulnerabilidad para ambos agujeros en una lista de correo de seguridad. Un día más tarde, Yahoo ya había parcheado Messenger, publicado la nueva versión en su sitio y pedido a la gente que se lo descargara e instalara. La actualización no es obligatoria, de todas maneras. La mayoría de ataques para la vulnerabilidad provienen de sitios web maliciosos y pueden provocar la introducción de código ejecutable, ser expulsado involuntariamente de una sesión de chat o mensajería instantánea y que se cuelguen aplicaciones como Internet Explorer.

Normalmente los dos controles de ActiveX sólo se utilizan cuando se está viendo contenido de la webcam desde el Messenger de Yahoo. Según los responsables de eEye, todas las versiones de Windows son vulnerables al ataque excepto las de Vista, puesto que Yahoo no ha finalizado la versión para este sistema operativo. La versión actualizada para Windows 98, 2000, Millennium y XP está disponible para la descarga aquí.