Yahoo! Messenger souffre d'un nouveau dépassement de mémoire tampon. La faille est exploitable à distance en envoyant un simple nom de fichier à un correspondant. Il n'y a pas besoin de télécharger le fichier en question pour être piégé, il suffit de cliquer dessus. Toutes les versions du Messenger sont concernées, à l'exception de la toute dernière.

au sommaire

    Nouvelle faille pour Yahoo! Messenger

    Nouvelle faille pour Yahoo! Messenger

    La nouvelle faille à frapper Yahoo! MessengerMessenger n'est pas franchement originale : il s'agit d'un énième dépassement de tampon, une famille de vulnérabilités que l'on retrouve en massemasse dans de nombreux logiciels. Cette fois-ci, la faille se trouve dans une fonction chargée des transferts de fichiers. Lorsque cette dernière reçoit un lien composé de plus de 210 caractères, le Messenger plante. Et en ajoutant à la fin du lien une poignée de codes hexadécimaux qui vont bien, il est possible de les faire exécuter par le PC de sa victime.

    Rien de bien original donc, sauf peut-être la façon dont Yahoo! a corrigé la faille. L'éditeur s'est en effet contenté de réparer la fonction trouée dans la toute dernière version de son outil (5.6.0.1358), mais rien n'est fait pour les versions précédentes. Les utilisateurs d'anciennes versions sont donc toujours vulnérables, peu informés et leur seule issue est de réinstaller Yahoo! Messenger s'il veulent bénéficier de la correction.

    A moins qu'ils ne songent tout simplement changer d'outil de chat ?