Το Yahoo Messenger ως μια υπηρεσία δεν μπορεί να τερματίζεται, αλλά η desktop εφαρμογή είναι υποχρεωμένη να μπορεί να διακοπεί, όπως ανακάλυψε ο ερευνητής ασφαλείας όταν ανέφερε το bug υπερχείλισης.
Ο Julien Ahrens, ένας ανεξάρτητος ερευνητής ασφαλείας, αποκάλυψε ένα σφάλμα στην επιφάνεια εργασίας των Windows για το Yahoo Messenger, το οποίο είχε κατ ‘ ιδίαν αναφέρει στην εταιρεία το περασμένο έτος.
Το bug (CVE-2014 – 7216) είναι ένα βασικό ελάττωμα υπερχείλισης του buffer που μπορεί να αξιοποιηθεί όταν οι χρήστες εγκαθιστούν κακόβουλα πακέτα με emoticon.
Ο Ahrens ανακαλύψει και τεκμηρίωσε αυτό το ελάττωμα, τον Απρίλιο του 2014, αλλά μετά από πέντε μήνες ερευνών από τα επιτελικά στελέχη της Yahoo, το σφάλμα είχε χαρακτηριστεί ως “Δεν φτιάχνεται” λόγω της επερχόμενης EOL (End of Life).
Τώρα, ένα χρόνο μετά από τότε που το σφάλμα του αγνοήθηκε και εξακολουθούν να μην υπάρχουν ενημερώσεις στο Yahoo Messenger των Windows, o Ahrens αποφάσισε να δημοσιεύσει τα ευρήματά του, κάνοντας τίποτα περισσότερο από το να επιβεβαιώσει τη θλιβερή κατάσταση στην οποία η άλλοτε πανίσχυρη και εξαιρετικά δημοφιλής Yahoo ! Messenger έχει φτάσει.
Παρά την εύρεση και τη σωστή αποκάλυψη του σφάλματος, ο Ahrens δεν αποζημιώθηκε για την έρευνα ασφάλειας που έκανε στα πλαίσια του προγράμματος Bug Bounty της Yahoo.
Σε μια ιδιωτική συνομιλία στο Twitter, η Yahoo δικαιολόγησε την απόφασή της να μην πληρώσει τον Ahrens επειδή “αυτοί” φαίνεται να έχουν αλλάξει γνώμη σχετικά με το Messenger και το τι σημαίνει για αυτούς. Ίσως αυτό εξηγεί γιατί η Yahoo συνεχίζει να αγοράζει εταιρείες και υπηρεσίες και κλείνοντας τους μετά από ένα ή δύο χρόνια.
Πέραν της άρνησης πληρωμής για ένα bug που καλύπτει τους δικούς τους κανόνες, η Yahoo απείλησε τον Ahrens να μην δημοσιοποιήσει το σφάλμα, διαφορετικά θα αντιμετωπίσει μια μόνιμη απαγόρευση από το πρόγραμμα Bug Bounty. Για έναν «ανεξάρτητο» ερευνητή ασφάλειας, αυτό είναι μια μεγάλη υπόθεση. Η πρόσφατη αποκάλυψή του έγινε με την έγκριση της εταιρείας.
