Yahoo corrige des failles dans son Messenger
Yahoo! vient de mettre à disposition une nouvelle version de son logiciel ...
Yahoo! vient de mettre à disposition une nouvelle version de son logiciel de messagerie instantanée Yahoo! Messenger. Cette dernière version est estampillée 6.0.0.1921, et corrige quelques vulnérabilités décrites dans le bulletin de sécurité de Yahoo!.
La faille en question aurait permis à un programme malsain de s'exécuter sur l'ordinateur hôte, pour permettre alors tout type d'attaque. La possibilité existait bien, même si « plusieurs conditions devaient être réunies pour permettre l'exécution du code arbitraire. » selon Yahoo!.
Selon Secunia, la faille portait principalement sur le système de transfert de fichier qui ne supportait pas les noms de fichiers trop longs. Un utilisateur pouvait alors accepter un programme sans réellement être prévenu. Un risque latent dès que l'option « Cacher les extensions de fichiers dont le type est connu » était activée dans les options de Windows.
Une seconde vulnérabilité, un peu plus importante cette fois, a été trouvée dans le module de conversation audio, qui utilise l'exécutable ping.exe de manière non sécurisée pour contrôler les latences pendant les conversations. Secunia en avait conclu qu'il était alors possible d'exploiter cette faille pour exécuter un arbitre codeur, ... , .... , ou plutôt un code arbitraire, notamment en remplaçant le ping.exe par un autre fichier du même nom, plus malicieux.
Ces deux failles restent peu exploitables, mais sont bien réelles. Yahoo! a donc mis une nouvelle version 6.0.0.1921 en ligne, disponible sur cette page en Anglais, ou celle-ci en Français.
La faille en question aurait permis à un programme malsain de s'exécuter sur l'ordinateur hôte, pour permettre alors tout type d'attaque. La possibilité existait bien, même si « plusieurs conditions devaient être réunies pour permettre l'exécution du code arbitraire. » selon Yahoo!.
Selon Secunia, la faille portait principalement sur le système de transfert de fichier qui ne supportait pas les noms de fichiers trop longs. Un utilisateur pouvait alors accepter un programme sans réellement être prévenu. Un risque latent dès que l'option « Cacher les extensions de fichiers dont le type est connu » était activée dans les options de Windows.
Une seconde vulnérabilité, un peu plus importante cette fois, a été trouvée dans le module de conversation audio, qui utilise l'exécutable ping.exe de manière non sécurisée pour contrôler les latences pendant les conversations. Secunia en avait conclu qu'il était alors possible d'exploiter cette faille pour exécuter un arbitre codeur, ... , .... , ou plutôt un code arbitraire, notamment en remplaçant le ping.exe par un autre fichier du même nom, plus malicieux.
Ces deux failles restent peu exploitables, mais sont bien réelles. Yahoo! a donc mis une nouvelle version 6.0.0.1921 en ligne, disponible sur cette page en Anglais, ou celle-ci en Français.
Source :
EWeek
Bruno_C
le 21 février 2005 à 11:57
(4 382
lectures)
Actualités et brèves relatives
- 15 / 02 / 2005 : La barre d'outils Yahoo pour Firefox fait des vagues
- 14 / 02 / 2005 : MSN Messenger : Pas patché, pas d’accès
- 11 / 02 / 2005 : Yahoo n'en a pas terminé sur l'affaire des objets Nazi
- 10 / 02 / 2005 : Yahoo teste sa barre d'outils pour Firefox
- 09 / 02 / 2005 : Les mises à jour Microsoft de Février sont là
- 08 / 02 / 2005 : La version finale d'ICQ 5 est disponible
- 04 / 02 / 2005 : Un nouveau ver qui s'en prend à MSN Messenger
- 11 / 01 / 2005 : Et Yahoo! fouille à son tour votre PC
- 06 / 01 / 2005 : Nouvelle version de Skype disponible : 1.1.061 MAJ
