Впервые информация о дыре появилась на одном из китайских форумов, посвященных вопросам компьютерной безопасности. Позднее факт существования уязвимости подтвердили специалисты лаборатории Avert Labs компании McAfee.

Для организации нападения злоумышленнику необходимо направить жертве сформированный специальным образом пакет данных с приглашением принять участие в сеансе видеосвязи. Если пользователь согласится на предложение атакующего, на компьютере может возникнуть ошибка переполнения "кучи" (области памяти, выделяемой программе для динамически размещаемых структур данных), провоцирующая дальнейшее выполнение произвольного вредоносного кода.

Сотрудники Avert Labs подчеркивают, что случаев практической эксплуатации уязвимости пока зафиксировано не было. В компании Yahoo в качестве временной меры безопасности рекомендуют пользователям не принимать приглашения к участию в сеансах видеосвязи, присланные от неизвестных лиц.

Кстати, чуть больше месяца назад в Yahoo Messenger была найдена другая опасная брешь. При помощи сформированного специальным образом контакта злоумышленник может спровоцировать аварийное завершение работы приложения и, возможно, выполнение произвольного программного кода.