Vulnérabilités

Nouvelle faille pour Yahoo! Messenger

Par Jerome Saiz, le 10 jan 2004 à 16:24:00.

Yahoo! Messenger souffre d'un nouveau dépassement de mémoire tampon. La faille est exploitable à distance en envoyant un simple nom de fichier à un correspondant. Il n'y a pas besoin de télécharger le fichier en question pour être piégé, il suffit de cliquer dessus. Toutes les versions du Messenger sont concernées, à l'exception de la toute dernière.

La nouvelle faille à frapper Yahoo! Messenger n'est pas franchement originale : il s'agit d'un énième dépassement de tampon, une famille de vulnérabilités que l'on retrouve en masse dans de nombreux logiciels. Cette fois-ci, la faille se trouve dans une fonction chargée des transferts de fichiers. Lorsque cette dernière reçoit un lien composé de plus de 210 caractères, le Messenger plante. Et en ajoutant à la fin du lien une poignée de codes hexadécimaux qui vont bien, il est possible de les faire exécuter par le PC de sa victime.
Rien de bien original donc, sauf peut-être la façon dont Yahoo! a corrigé la faille. L'éditeur s'est en effet contenté de réparer la fonction trouée dans la toute dernière version de son outil (5.6.0.1358), mais rien n'est fait pour les versions précédentes. Les utilisateurs d'anciennes versions sont donc toujours vulnérables, peu informés et leur seule issue est de réinstaller Yahoo! Messenger s'il veulent bénéficier de la correction.
A moins qu'ils ne songent tout simplement changer d'outil de chat ?

Nouvelle faille pour Sendmail. (31 mars 2003)
Une nouvelle faille pour Oracle. (01 mai 2003)
Une vulnérabilité majeure pour Yahoo! Messenger (11 juin 2007)
Nouvelle faiblesse pour OpenSSH. (07 mars 2002)
Une nouvelle faille majeure pour Windows. (14 juil 2004)

Cartes blanches

Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.	Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.	Sécurité et contrôle dans les banques : un échec ? Monsieur RSSI Face à un constat d'échec des contrôles internes dans les banques, un RSSI propose 5 règles à adopter d'urgence.
>> Plus de Cartes Blanches

Les dossiers Les thématiques

Quel socle de connaissances pour le RSSI ?Les services managés de sécurité à l’age adulte Les botnets se mettent au Web 2.0 Antivirus : la révolution in the cloud

Gestion des Identités et des Accès Prévention des fuites de données (DLP)Virtualisation

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.