au sommaire
Nouvelle faille pour Yahoo! Messenger
La nouvelle faille à frapper Yahoo! MessengerMessenger n'est pas franchement originale : il s'agit d'un énième dépassement de tampon, une famille de vulnérabilités que l'on retrouve en massemasse dans de nombreux logiciels. Cette fois-ci, la faille se trouve dans une fonction chargée des transferts de fichiers. Lorsque cette dernière reçoit un lien composé de plus de 210 caractères, le Messenger plante. Et en ajoutant à la fin du lien une poignée de codes hexadécimaux qui vont bien, il est possible de les faire exécuter par le PC de sa victime.
Rien de bien original donc, sauf peut-être la façon dont Yahoo! a corrigé la faille. L'éditeur s'est en effet contenté de réparer la fonction trouée dans la toute dernière version de son outil (5.6.0.1358), mais rien n'est fait pour les versions précédentes. Les utilisateurs d'anciennes versions sont donc toujours vulnérables, peu informés et leur seule issue est de réinstaller Yahoo! Messenger s'il veulent bénéficier de la correction.
A moins qu'ils ne songent tout simplement changer d'outil de chat ?