La red social LinkedIn posee una barra de herramientas para Internet Explorer, para la cual existe una vulnerabilidad que permitiría la ejecución de aplicaciones sin el consentimiento del usuario.
El problema radica en la función de búsqueda del control ActiveX (LinkedInIEToolbar.dll) de dicha barra.
Esta vulnerabilidad fue reportada por la empresa VDALabs, quien publico también una prueba de concepto, la cual al ejecutarla abre la calculadora de Windows y luego congela al navegador. El exploit podría ser modificado también para lograr la ejecución de aplicaciones maliciosas y lograr la instalación de algún tipo de malware.
Versiones vulnerables:
3.0.2.1098 y anteriores
Solución:
La versión 3.0.3.1100 solucionaría este inconveniente, por lo que se recomienda inmediata actualización.
Enlaces relacionados:
LinkedIn Toolbar Remote (Client side) Exploit
http://www.vdalabs.com/tools/linkedin.html
Critical hole in a toolbar from LinkedIn
http://www.heise-security.co.uk/news/93227
LinkedIn Browser Toolbar (3.0.3.1100)
http://www.linkedin.com/static?key=browser_toolbar_download
# Rynho Zeros Web (http://www.rzw.com.ar)
# Seguridad Informática