De to alvorlige sårbarheder i Yahoo Messenger retter sig mod ActiveX kontroller, som kan bruges til at kapre Windows-pc'er.
Det kom frem efter sikkerhedsfirmaet eEye tidligere på ugen gjorde Yahoo opmærksomme på sårbarhederne. Selv om eEye var tavse om detaljerne, nævnte de, at programmets ActiveX kontroller til webcam var en del af problemet.
Men en anden researcher fandt to ActiveX kontroller og offentliggjorde informationer om hullerne, herunder at det andet hul påvirkede ywcvwr.dll-filen i forbindelse med Yahoo Messenger.
Hullerne bliver kaldt alvorlige af eEye, fordi ekstern udførelse af ActiveX-kodesårbarheder har meget stor gennemslagskraft, eftersom kilden til den ondsindede kode kan komme fra ethvert site. Det problem bliver endnu mere kritisk, når brugerne er administratorer, fordi det gør kilden i stand til at aflevere koden på administrator-niveau, tilføjer eEye. De fleste brugere af Windows XP kører systemet på netop administrator-niveau.
Det danske sikkerhedsfirma Secunia kategoriserer hullerne i Yahoo Messenger som "ekstremt kritiske", hvilket er den mest truende rang.
Yahoo anbefaler derfor, at man opdaterer samtlige udgave af Yahoo Messenger fra før i dag.
