vlan.org

Webzine des anciens étudiants de l’IUT Serecom St-Raphaël

Accueil > Actu > Yahoo Messenger mis à jour discrètement pour une faille de sécurité

Yahoo Messenger mis à jour discrètement pour une faille de sécurité

lundi 12 janvier 2004

Une faille apparemment anodine a été rectifiée par le groupe américain, après avoir reçu une alerte sur un défaut de sécurité. La version actuellement proposée en téléchargement est exempte de ce problème. Sauf la version française, semble-t-il.

Yahoo a mis à jour très récemment la version téléchargeable de son logiciel de messagerie instantanée, Yahoo Messenger. Selon une source indépendante à la société, cette opération a été motivée par la découverte d’une complication possible sur l’édition précédente, qui aurait pu mener un utilisateur à se faire confisquer son compte par un autre.

Dans un message d’alerte envoyé le 8 janvier à la mailing-list spécialisée Bugtraq, Tri Huynh, se présentant comme un spécialiste de la société de services en sécurité informatique Sentry Union, décrit la faille en quelques mots. Elle se produirait lors de l’envoi, dans un message instantané, d’un fichier attaché (une image par exemple) avec un nom trop long ou configuré de manière à provoquer un dépassement de mémoire (buffer overflow) de l’application. Le logiciel client victime du problème se montrerait alors vulnérable à un code malicieux qui pourrait devenir préjudiciable au titulaire du compte Yahoo en question.

Le spécialiste, qui a informé Yahoo de sa découverte avant d’en faire part sur Bugtraq, semble être déçu de n’avoir pas reçu de réponse, à part un « nous faisons le nécessaire... ». Il s’est rendu compte en revanche que la société avait préféré colmater la brèche et mettre à jour son logiciel, sans toutefois en informer l’ensemble de ses utilisateurs actuels. Il faut donc télécharger la nouvelle version pour être à l’abri, prétend-il. Mais penser auparavant à désinstaller la précédente.

La page sécurité de Yahoo reste muette

Huynh a fait lui-même l’expérience : il a désinstallé son ancienne version, puis téléchargé à nouveau celle proposée par Yahoo, et a vérifié que la faille en question n’était plus active. Il indique que la mouture actuelle (5.6.0.1358) est donc exempte de problème, et que le trou de sécurité demeure présent dans toutes les versions antérieures à la v5.6.0.1351. Yahoo a donc décidé de ne pas fournir de correctif intermédiaire et préféré réparer l’erreur discrètement, ce qui implique que seuls ses nouveaux utilisateurs sont protégés. Tri Huynh est par ailleurs plutôt furieux de remarquer que rien n’est précisé dans la page "spéciale sécurité" du logiciel (encore le cas vendredi en milieu de journée). « Ne perdez pas votre temps à chercher un patch ou une information sur cette vulnérabilité. Ils s’en balancent... », dit-il vertement.

Il semble que le problème soit exclusif aux environnement Windows. Et qu’il concerne aussi les versions du logiciel proposées dans d’autres langues que l’anglais. En revanche, nous avons téléchargé aujourd’hui la version française proposée sur le site fr.messenger.yahoo.com, et son numéro de version est antérieur (1344) à la dernière mouture originale en anglais (1358). Ce qui sous-entend que la VF est encore vulnérable au problème soulevé ici. Nous attendons des précisions de Yahoo France pour éclaircir ce point.

Jerome Thorel


Voir en ligne : Article de ZDNet - 09/01/2004

Messages

Un message, un commentaire ?

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.