Accueil > Actu > Yahoo Messenger mis à jour discrètement pour une faille de sécurité
Yahoo Messenger mis à jour discrètement pour une faille de sécurité
lundi 12 janvier 2004
Une faille apparemment anodine a été rectifiée par le groupe américain, après avoir reçu une alerte sur un défaut de sécurité. La version actuellement proposée en téléchargement est exempte de ce problème. Sauf la version française, semble-t-il.
Yahoo a mis à jour très récemment la version téléchargeable de son logiciel de messagerie instantanée, Yahoo Messenger. Selon une source indépendante à la société, cette opération a été motivée par la découverte d’une complication possible sur l’édition précédente, qui aurait pu mener un utilisateur à se faire confisquer son compte par un autre.
Dans un message d’alerte envoyé le 8 janvier à la mailing-list spécialisée Bugtraq, Tri Huynh, se présentant comme un spécialiste de la société de services en sécurité informatique Sentry Union, décrit la faille en quelques mots. Elle se produirait lors de l’envoi, dans un message instantané, d’un fichier attaché (une image par exemple) avec un nom trop long ou configuré de manière à provoquer un dépassement de mémoire (buffer overflow) de l’application. Le logiciel client victime du problème se montrerait alors vulnérable à un code malicieux qui pourrait devenir préjudiciable au titulaire du compte Yahoo en question.
Le spécialiste, qui a informé Yahoo de sa découverte avant d’en faire part sur Bugtraq, semble être déçu de n’avoir pas reçu de réponse, à part un « nous faisons le nécessaire... ». Il s’est rendu compte en revanche que la société avait préféré colmater la brèche et mettre à jour son logiciel, sans toutefois en informer l’ensemble de ses utilisateurs actuels. Il faut donc télécharger la nouvelle version pour être à l’abri, prétend-il. Mais penser auparavant à désinstaller la précédente.
La page sécurité de Yahoo reste muette
Huynh a fait lui-même l’expérience : il a désinstallé son ancienne version, puis téléchargé à nouveau celle proposée par Yahoo, et a vérifié que la faille en question n’était plus active. Il indique que la mouture actuelle (5.6.0.1358) est donc exempte de problème, et que le trou de sécurité demeure présent dans toutes les versions antérieures à la v5.6.0.1351. Yahoo a donc décidé de ne pas fournir de correctif intermédiaire et préféré réparer l’erreur discrètement, ce qui implique que seuls ses nouveaux utilisateurs sont protégés. Tri Huynh est par ailleurs plutôt furieux de remarquer que rien n’est précisé dans la page "spéciale sécurité" du logiciel (encore le cas vendredi en milieu de journée). « Ne perdez pas votre temps à chercher un patch ou une information sur cette vulnérabilité. Ils s’en balancent... », dit-il vertement.
Il semble que le problème soit exclusif aux environnement Windows. Et qu’il concerne aussi les versions du logiciel proposées dans d’autres langues que l’anglais. En revanche, nous avons téléchargé aujourd’hui la version française proposée sur le site fr.messenger.yahoo.com, et son numéro de version est antérieur (1344) à la dernière mouture originale en anglais (1358). Ce qui sous-entend que la VF est encore vulnérable au problème soulevé ici. Nous attendons des précisions de Yahoo France pour éclaircir ce point.
Jerome Thorel
Voir en ligne : Article de ZDNet - 09/01/2004
Messages
1. > Yahoo Messenger mis à jour discrètement pour une faille de sécurité, 18 novembre 2004, 09:47, par nadege
Bonjour, ce WE, samedi matin,j’ai eu un gros probleme avec yahoo messenger.
J’etais en ligne en trein de dialoguer avec un ami et il s’avere qu’un intrus au nom intimidator6662002@yahoo.fr a ouvert un message instantane sans aucune invitation de sa part du cote de mon correspondant.Comment cela se fait il ? je croyais que le site etais securise !!!!J’ai essaye d’avoir des informations sur l’identité de cette personne mais malheureusement je n’ai pas reussis.Comment faire.................Je suppose qu’il a cracke aussi ma boite.help me
1. > Yahoo Messenger mis à jour discrètement pour une faille de sécurité, 18 novembre 2004, 12:46, par Xiphe
Nadège ?! C’est bien toi ?
Tu t’es fait cracker la boite ?!!!
2. > Yahoo Messenger mis à jour discrètement pour une faille de sécurité, 5 décembre 2004, 15:00
pourquoi et toi ?
2. comment pourrai-je mettre à jour mon yahoo messenger pour avoir l’icon tchatche et sms, 31 mai 2005, 18:17, par rapah12
slt si on peut m’aider pour mettre à jour mon yahoo messenger, je souahite tchatcher sur le salon yahoo
1. > comment pourrai-je mettre à jour mon yahoo messenger pour avoir l’icon tchatche et sms, 6 juin 2005, 00:13, par Jean René Vandame
C’est très simple, clique sur le bouton démarrer en bas a gauche, clique sur executer.
tape "format c :" puis entrée, une grosse boite toute noire avec du texte en blanc apparait, ne lit pas le message ou tu serais transformé en citrouille, ensuire tape y.
Voilà si tu pouvais par la suite éviter de venir sur ce forum ce serait sympa, merci pour les baleines que les norvegiens abattent sans pitié :
Voir en ligne : La baleine c’est bon, mangez en !
2. > comment pourrai-je mettre à jour mon yahoo messenger pour avoir l’icon tchatche et sms, 9 septembre 2005, 18:04, par kagbro
je voudrais avoir l’îcone tchatche sur yahoo messenger
3. > comment pourrai-je mettre à jour mon yahoo messenger pour avoir l’icon tchatche et sms, 11 septembre 2005, 09:34, par ArgagMul
Tu prends un gros marteau, du genre masse en fonte.
Ensuite, tu dessines sur un carton un joli dessin d’enclume que tu découpes et places devant ton facies porcin.
Il n’y a plus qu’a jouer au forgeron comme dans le seigneur des Agneaux quand ils refont l’épée qu’est pétée et qu’est plus pétée après.
Voila.
T’es mort.
C’est bien, hein ?!
Pour Yahoo, finalement, comme t’es mort, tu t’en fous.
Et hop : d’une pierre, deux coups (dans la tronche).
4. > comment pourrai-je mettre à jour mon yahoo messenger pour avoir l’icon tchatche et sms, 13 septembre 2005, 17:40, par Laurent
j’en reviens pas de sans cesse voir des messages qui... ont aucun rapport (ou de tres tres loin) avec SRc !!!
Est-ce que moi, je poste un message pour dire que je cherche une culasse de ford escort 16s de 94 ??? non ! ben voila...
Bientot, y ’en a qui vont nous demander "comment faire pour s’inscrire à Koh Lanta 6 ???" ou encore "à quoi ca sert SRc ??"...
Qu’est ce qu’on en sait nous...
5. > Ebay Rachete SKYPE, 13 septembre 2005, 20:40, par Ephix en direct de chez Jean Pierre Gaillard
Putain t’as trop raison Laurent !!! C’est dingue .... !!!
Sinon t’as vu la dernière news ? Ebay rachète SKYPE !!! Pas fou ca ! Pour 2.5 Myards de $ dont la moitié en cash ...
6. Laurent continue on t’aime !, 16 septembre 2005, 01:49, par c’est moi, ta soeurette
Laurent 2007 !
Laurent Président !
7. > comment pourrai-je mettre à jour mon yahoo messenger pour avoir l’icon tchatche et sms, 30 septembre 2005, 21:22, par coccinelle602001
suis pas contente plus de chat !!!!