Deux failles frappent le module webcam de Yahoo Messenger

Une nouvelle version de Yahoo Messenger a été mise en ligne le 8 juin denier. Elle fait suite à la découverte de deux failles importantes dans le logiciel par la firme de sécurité eEye Digital Security et un certain Danny. Elles frappent deux contrôles activeX qui permettent à la webcam d’envoyer et d’afficher des images ywcupl.dll et ywcvwr.dll).

Comme souvent, elles prennent la forme d’un débordement de mémoire tampon avec lequel un utilisateur distant peut prendre le contrôle de la machine fragilisée via une simple page web mal formée, ou y installer un programme malveillant. Toutes les versions publiées avant ce 8 juin sont concernées (8.1.0.249 et inférieures).

Deux messages ont été postés le 6 juin dernier sur la liste Full Disclosure afin de démontrer preuve à l’appui une exploitation de ces failles « 0days ». Faute d’avoir été avertie à temps, la firme Yahoo n’a pu alerter et mettre à jour son logiciel que le lendemain. Secunia, l’un des principaux sites de sécurité, a classé ces deux failles comme étant « extrêmement critiques ». Le site a mis à jour son test de vulnérabilité en ligne (inoffensif) pour tenir compte de cette nouvelle faille.

Marc Rees le 11 juin 2007 à 10:35 (11 256 lectures)

Tweeter

• 06 / 06 / 2007 : Quatre nouvelles failles pour Internet Explorer et Firefox
• 01 / 06 / 2007 : iTunes : des morceaux sans DRM, mais pas sans traces
• 31 / 05 / 2007 : Firefox : mises à jour de sécurité 2.0.0.4 et 1.5.0.12
• 21 / 05 / 2007 : Secunia : attention aux logiciels qui ne sont pas à jour !
• 09 / 05 / 2007 : Microsoft : bulletin de sécurité de mai 2007
• 02 / 05 / 2007 : QuickTime 7.1.6 et mises à jour de sécurité pour Mac OS X
• 30 / 04 / 2007 : Des diffuseurs de virus utilisent Google Adwords
• 27 / 04 / 2007 : Secunia avertit les utilisateurs d'une faille dans Photoshop

Actu Précédente Actu Suivante