Un worm che ha preso di mira Yahoo! Gli utenti di posta ora sono stati “contenuti” secondo la società. Quasi 200 milioni di caselle di posta sono state messe a rischio ieri dalla comparsa di un worm soprannominato [e-mail protetta].
Yahoo! afferma di aver rilasciato una patch a tutti gli utenti di Mail e che non è necessaria alcuna ulteriore interazione da parte dei clienti. Tuttavia, come ulteriore precauzione, Yahoo consiglia ai propri abbonati di mantenere aggiornata la protezione antivirus e di evitare messaggi provenienti da [e-mail protetta]. La vulnerabilità non interessa la versione più recente di Yahoo! Mail che è attualmente in versione beta.
Il worm, scritto in JavaScript, sfrutta una vulnerabilità nella posta online di Yahoo! per eseguire uno script e replicarsi. Invia copie di se stesso all'account Yahoo! rubrica e-mail, ai contatti su yahoo.com o yahoogroups.com. Tuttavia, a differenza di altri worm, non richiede l'interazione dell'utente, come ad esempio l'apertura di un allegato. Si attiva semplicemente visualizzando il corpo del messaggio che ha nell'oggetto la dicitura "Nuovo sito grafico". Il worm reindirizza il browser Web da Yahoo! Invia una e-mail al sito Web www.av3.net/index.htm e trasmette un elenco di indirizzi e-mail.
Il worm utilizza una funzione JavaScript utilizzata per facilitare il caricamento di immagini da un messaggio al server di posta. Yahoo! Mail utilizza AJAX, che si basa su JavaScript, per fornire l'interazione tra l'utente e il server. Tuttavia, il worm ha sfruttato una lacuna in una funzione JavaScript che gli permetteva di includere il proprio codice invece del codice di gestione delle immagini. Lo sfruttamento della vulnerabilità JavaScript è un forte avvertimento agli sviluppatori web affinché colmino eventuali lacune poiché le pagine web basate su AJAX diventano sempre più comuni su Internet.
Le conseguenze del worm non hanno colpito solo Yahoo! Utenti di posta. Perché Yahoo! ha stretti legami con BT Broadband, i clienti con indirizzi di posta BTInternet hanno scoperto che le loro caselle di posta si riempivano copie triplicate di file e messaggi che erano già stati eliminati poiché i server di posta faticavano a far fronte alla traffico. Tuttavia, gli utenti di BT Broadband non sono direttamente minacciati dal malware stesso.
