यदि आप याहू मैसेंजर में अंतराल को लक्षित करने वाले खतरनाक शोषण कोड की रिहाई के लिए किसी को दोषी ठहराना चाहते हैं, तो याहू प्रवक्ता टेरेल कार्लस्टन पर अपनी उंगली उठाएं।
यदि आप याहू मैसेंजर में अंतराल को लक्षित करने वाले खतरनाक शोषण कोड की रिहाई के लिए किसी को दोषी ठहराना चाहते हैं, तो याहू प्रवक्ता टेरेल कार्लस्टन पर अपनी उंगली उठाएं।
यह पता चला है कि, कार्लस्टन ने निजी तौर पर और जिम्मेदारी से दो बगों के बारे में विस्तृत विवरण सार्वजनिक किया था - eEye Digital Security द्वारा रिपोर्ट की गई, जिसमें हैकर्स को विशिष्ट ActiveX नियंत्रणों की ओर इशारा किया गया है भेद्यता।
कार्लस्टन की मार्गदर्शिका का उपयोग करते हुए, "डैनी" नामक एक हैकर इंगित करता है फ़ज़र पहचाने गए ActiveX नियंत्रणों पर और, एक घंटे के भीतर, उस दुर्घटना का पता लगाता है जिसके कारण कमजोरियाँ/कारनामे हुए।
यहाँ दोष प्रकटीकरण की समय-सीमा ग़लत हो गई है:
5 जून 2007: eEye प्रकाशित करता है नंगे हड्डियों की सलाह यह कहते हुए कि याहू मैसेंजर के भीतर कई खामियां मौजूद हैं जो न्यूनतम उपयोगकर्ता इंटरैक्शन के साथ मनमाने कोड के दूरस्थ निष्पादन की अनुमति देती हैं। उस साधारण नोट के अलावा कोई विवरण नहीं दिया गया है।
6 जून 2007 @4:06 अपराह्न: सूचना सप्ताह इस डोज़ी उद्धरण के साथ एक कहानी चलाता है: "हमें हाल ही में एक के बारे में पता चला ActiveX नियंत्रण में बफ़र अतिप्रवाह सुरक्षा समस्या. यह नियंत्रण है वेब कैम छवि अपलोड और देखने के लिए कोड का हिस्सा. याहू के प्रवक्ता टेरेल कार्लस्टन ने कहा, इस मुद्दे के बारे में जानने के बाद, हमने समाधान की दिशा में काम करना शुरू कर दिया और उम्मीद है कि जल्द ही इसका समाधान हो जाएगा। (इटैलिक मेरे हैं)।
(नोट: इंफॉर्मेशन वीक बाद में दिन में वाक्य से कार्लस्टन का नाम हटाते हुए अपनी कहानी अपडेट करता है। नियोविन के पास मूल कहानी के साक्ष्य हैं).
6 जून 2007 @5:50 अपराह्न: 'डैनी' ने उसका प्रकाशन किया पहला शोषण सूचना सप्ताह की कहानी के लिंक के साथ और केवल 45 मिनट की फ़ज़िंग के बाद अपनी खोज का दावा करते हुए।
6 जून 2007 @ 7:03 अपराह्न: दूसरा शोषण सूचना सप्ताह के अंश में कार्लस्टन के संकेत के एक और संदर्भ के साथ "डैनी" द्वारा जारी किया गया है।
मैंने इस बारे में eEye के मुख्य हैकिंग अधिकारी मार्क मैफ्रेट से बात की और उन्होंने याहू को वह पार्टी बताया जिसने प्रकटीकरण प्रक्रिया को खराब कर दिया, जिससे लाखों उपयोगकर्ताओं को कोड निष्पादन हमलों का खतरा हो गया।
"याहू $#% ऊपर। उन्होंने मूलतः सब कुछ उगल दिया,'' हताश मैफ्रेट ने कहा।
मेरे पास टिप्पणी के लिए याहू से एक प्रश्न है और आवश्यकतानुसार इस ब्लॉग प्रविष्टि को अपडेट करूंगा. मैंने अभी-अभी बहुत ही खेदजनक कार्लस्टन से फोन मिलाया, जिन्होंने गलती स्वीकार की और इसे "भयानक भूल" करार दिया। उन्होंने कहा कि उनकी टिप्पणियाँ "नहीं" थीं याहू की प्रकटीकरण प्रक्रिया का प्रतिनिधि" था और यह एक ऐसी त्रुटि थी जिसके लिए कंपनी द्वारा अपने ग्राहकों के प्रति पारदर्शी और ईमानदार रहने के प्रयास को जिम्मेदार ठहराया जा सकता है।
मुझे इस पैच को रिकॉर्ड समय (48 घंटे) में प्राप्त करने और लॉगिन प्रक्रिया के दौरान उपयोगकर्ताओं को अपग्रेड करने की पूरी कोशिश करने के लिए याहू को बधाई देनी होगी, लेकिन मुझे अभी भी लगता है उन्हें दृढ़तापूर्वक इसे एक अनिवार्य उन्नयन मानना चाहिए.
ये संबंधित कहानियाँ भी देखें:
याहू मैसेंजर में 'हाई रिस्क' खामियां
याहू वेबकैम एक्टिवएक्स की खराब खामियों के लिए कारनामे जारी किए गए
माइक्रोसॉफ्ट की एडवाइजरी दे रही है हैकर्स को सुराग!