Yahoo! publie un correctif pour son logiciel de messagerie instantanée Aurélien Cabezon le 13 juin 2007 à 9h36, dans la rubrique Menaces Commentaires fermés sur Yahoo! publie un correctif pour son logiciel de messagerie instantanée buffer overflowfaille activexyahooyahoo messenger Dans une note du 7 Juin 2007, Yahoo annonce que deux des contrôles ActiveX intégrés à Yahoo! Messenger sont susceptibles d’être victimes d’attaques, et qu’un correctif est d’ores et déjà disponible. Découvertes par eEye Digital Security , ces deux failles concernent deux fichiers DLL en charge de diffuser et de visionner la vidéo générée par la fonctionnalité de vidéoconférence de Yahoo! Messenger. Les contrôles ActiveX Yahoo! Webcam peuvent être exploités par scripting depuis tout site Web, qui, s’il exploite la faille, peut faire exécuter du code qu’il a préalablement transmis aux contrôles fautifs. La faille consiste en une absence de vérification de la taille de données lors d’opérations de copie en mémoire. En cas de dépassement, le bas de la pile est corrompu avec les données forgées par l’attaquant et une exception est générée. Le gestionnaire d’exception exécute alors les instructions placées dans la pile sans aucune discrimination. Les risques encourus sont essentiellement des plantages d’Internet Explorer ou des déconnexions intempestives au service de messagerie instantanée. La prise de contrôle distante de la machine serait également envisageable… Le correctif est disponible depuis http://messenger.yahoo.com/download.php . Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!