Faille dans le mode visioconférence sous MSN Messenger 7.x

Une faille de rang « élevé » (4 sur une échelle de 5) a été décelée dans le logiciel Microsoft MSN 7.x (et sans doute les versions plus anciennes). La vulnérabilité a été rapportée par un certain Wushi et a trait à un dépassement de mémoire (heap overflow). Exploité « convenablement », elle permet à un utilisateur distant de compromettre voire de se voir ouvrir un accès au système vulnérable.

Le bug pointé du doigt concerne une erreur dans l'interprétation de conversations vidéo, mis à mal grâce à des données spécialement conçues, envoyées à un utilisateur. Seule l’acceptation d’une invitation Web Cam peut rendre le risque réel. A ce jour, il n’y a aucun correctif disponible : faute de mieux, les utilisateurs sont encouragés à se mettre à jour avec Windows Live Messenger 8.1 ou supérieurs, qui n'est pas affecté par la vulnérabilité. A défaut, on pourra encore surfer « couvert » en n’acceptant aucune invitation webcam de source non fiable. (voir le bulletin chez Securinfos).

La faille n’est pas sans rappeler un problème similaire intervenu cette fois chez Yahoo Messenger. Le McAfee Avert Labs, alertait ainsi déjà d’un débordement de mémoire de type heap overflow sur cette solution, devenant faillible lors de l’acceptation d’une discussion en visioconférence.

Marc Rees le 29 août 2007 à 15:50 (18 250 lectures)

Tweeter

• 17 / 08 / 2007 : Vulnérabilité de Yahoo Messenger en mode visioconférence
• 23 / 07 / 2007 : Microsoft confirme Windows Seven : pas avant 2010
• 22 / 06 / 2007 : Mise à jour de Windows Live Messenger via Windows Update
• 20 / 06 / 2007 : Nouvelle version de Trillian, après la découverte d'une faille
• 11 / 06 / 2007 : Deux failles frappent le module webcam de Yahoo Messenger
• 01 / 06 / 2007 : Trois bêtas : Live Messenger 8.5, Live Mail et Live Writer
• 28 / 05 / 2007 : Windows Live Messenger 8.5 montre le bout de son nez
• 11 / 05 / 2007 : Microsoft SharedView : un outil pratique en version bêta

Actu Précédente Actu Suivante