Vulnérabilités

Yahoo! Messenger arrange les pirates.

Par Jerome Saiz, le 03 déc 2003 à 23:55:00.

Vulnérabilité embarrassante pour Yahoo Messenger : il suffit d'une adresse internet un peu modifiée pour forcer l'outil de dialogue à exécuter n'importe quoi, y compris virus et autres chevaux de Troie. [Mis à jour le 04/12/03]

C'est encore un dépassement de mémoire tampon qui est à l'origine de la faille découverte dans Yahoo! Messenger. Pour l'exploiter, il suffit au pirate de faire parvenir un surplus de données à l'outil de dialogue, par exemple sous la forme d'une adresse internet très longue. Lorsque l'internaute cliquera sur celle-ci (depuis une page web ou directement depuis Yahoo! Messenger), il provoquera dans le meilleur des cas l'arrêt du programme, et sinon l'exécution du code exécutable que le pirate aura placé à la fin de l'adresse piégée.
La vulnérabilité aurait été divulguée à Yahoo! le mois dernier, bien que l'éditeur prétende le contraire : il aurait pris connaissance de la chose en même temps que tout le monde, en lisant le bulletin d'alerte !
Résultat de ce cafouillage : il n'existait aucun correctif pour cette faille au moment de sa publication. Heureusement, il était alors possible de s'en protéger en effaçant le fichier yauto.dll du programme. Il s'agit du contrôle ActiveX fautif, manifestement pas essentiel au bon fonctionnement du Messenger !
Un correctif est désormais disponible sur le site de l'éditeur.

Plus d'information

L'alerte de Secunia (en anglais).
Le correctif de Yahoo!

Checkpoint FW-1 bien arrangeant avec les pirates. (04 sept 2002)
Une faille dans MSN Messenger met les pirates sur le pied de guerre. (10 fév 2005)
Yahoo! met la pression sur le spam. (22 oct 2003)
Une vulnérabilité majeure pour Yahoo! Messenger (11 juin 2007)
Outlook Express digère mal les signatures. (11 oct 2002)

Cartes blanches

Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Sécurité et contrôle dans les banques : un échec ? Monsieur RSSI Face à un constat d'échec des contrôles internes dans les banques, un RSSI propose 5 règles à adopter d'urgence.	Intégrer l'analyse de risques dans les projets Stéphane Aubert Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
>> Plus de Cartes Blanches

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.

Espace membres