Yahoo! vient de mettre à disposition une nouvelle version de son logiciel de messagerie instantanée Yahoo! Messenger. Cette dernière version est estampillée 6.0.0.1921, et corrige quelques vulnérabilités décrites dans le bulletin de sécurité de Yahoo!.

La faille en question aurait permis à un programme malsain de s'exécuter sur l'ordinateur hôte, pour permettre alors tout type d'attaque. La possibilité existait bien, même si « plusieurs conditions devaient être réunies pour permettre l'exécution du code arbitraire. » selon Yahoo!.

Selon Secunia, la faille portait principalement sur le système de transfert de fichier qui ne supportait pas les noms de fichiers trop longs. Un utilisateur pouvait alors accepter un programme sans réellement être prévenu. Un risque latent dès que l'option « Cacher les extensions de fichiers dont le type est connu » était activée dans les options de Windows.

Une seconde vulnérabilité, un peu plus importante cette fois, a été trouvée dans le module de conversation audio, qui utilise l'exécutable ping.exe de manière non sécurisée pour contrôler les latences pendant les conversations. Secunia en avait conclu qu'il était alors possible d'exploiter cette faille pour exécuter un arbitre codeur, ... , .... , ou plutôt un code arbitraire, notamment en remplaçant le ping.exe par un autre fichier du même nom, plus malicieux.

Ces deux failles restent peu exploitables, mais sont bien réelles. Yahoo! a donc mis une nouvelle version 6.0.0.1921 en ligne, disponible sur cette page en Anglais, ou celle-ci en Français.