雅虎Messenger 作为一种服务可能不会关闭,但其桌面应用将不再继续运行,这是一名曾向雅虎报告缓冲区溢出漏洞的安全专家得出的结论。
这名自由安全研究员名为Julien Ahrens,他在雅虎Messenger的Windows桌面客户端上发现了一个缓冲区溢出漏洞(CVE-2014-7216),并于去年将其报告给雅虎。
雅虎Messenger表情符号模块出现缓冲区溢出漏洞
Ahrens指出,“这款应用将‘shortcut’字符串和‘title’键值作为自变量传给不同的lstrcpyW调用时没有正确验证它们的长 度。”由此引发缓冲区溢出漏洞,允许攻击者在用户设备上执行恶意代码。如果缓冲区溢出以某种方式失败,会导致“拒绝服务情况”引发应用程序崩溃。 Ahrens在2014年4月发现了这个漏洞并报告给雅虎公司,但雅虎工作人员经过5个月的调查后以即将终止为由将它归类于“不予修复”。
如今,在这个漏洞被忽视且未被修复的一年后,Arens决定公开自己的研究成果,不过这无非是证实了曾经风靡一时的雅虎Messenger客户端将不复存在的悲惨事实。
雅虎拒绝支付奖励
尽管Ahrens发现和公开漏洞的方式很妥当,但并未因此而受到雅虎漏洞奖励计划的奖赏。根据雅虎奖励计划的规定,“非网络应用程序通常不包含在 内。唯一例外是雅虎Messenger、Toolbar以及邮件客户端”。
Ahren在雅虎推特私信交流中得知雅虎将不会颁发奖励,原因是雅虎似乎更改了 对Messenger的态度。或许这也可以解释雅虎为何连续买入公司和服务但在一两年后会将它们关闭的现象。
除拒绝支付应付奖金外,雅虎还威胁Ahrens不要公开这个漏洞,否则他将被禁止参与漏洞奖励计划的永久禁令,而他最近的披露是在得到雅虎批准后进行的。