Noua versiune a celebrului Yahoo Messenger are însă o mare breșă de securitate: permite unui “atacator” să modifice statusul unui utilizator. Există pe internet o mulțime de site-uri care fac asta. Dar cum reușesc? Pe site-ul respectiv trebuie să introduci ID-ul persoanei căreia vrei să îi schimbi statusul, să îi zicem XYZ. Site-ul respectiv trimite apoi un mesaj lui XYZ. Mesajul acesta conține cod JavaScript malițios care
permite schimbarea statusului din Yahoo Messenger, datorită unui bug din Yahoo Messenger care permite rularea de cod JavaScript din mesajele primite de la diverși utilizatori. Acest bug apare în versiunea 11 a Yahoo! Messenger. S-a lansat o nouă versiune, 11.5 care teoretic ar trebui să repare acest bug, dar se pare că bug-ul nu a fost reparat decât parțial. Atacatorii au găsit alte metode de a se folosi de vulnerabilitățile din Yahoo! Messenger.
Când cineva a încercat să îmi schimbe statusul, mi s-a deschis o nouă fereastră Yahoo Messenger pe ecran în care eram întrebat dacă doresc să execut scriptul sau nu. La închidere, am fost întrebat dacă vreau să anulez transferul de fișiere. Ce transfer?!? Păi, de vreme ce codul malițios poate să îmi schimbe statusul, probabil poate să îmi transfere și fișiere virusate sau să trimită atacatorului lista mea de contacte din messenger.
Acest bug este foarte periculos! Înțelegeți riscurile la care vă supuneți prietenii prin astfel de farse și nu le mai faceți! Pentru a nu fi ținta unui astfel de atac, se poate să blocați cererile de la persoanele necunoscute, care nu sunt în lista vostră de messenger, astfel: Messenger > Preferences > Ignore List și bifați opțiunea Ignore anyone who is not in my Yahoo! Contacts.
