Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Yahoo! publie un correctif pour son logiciel de messagerie instantanée

auteur de l'article Aurélien Cabezon , dans la rubrique Menaces

Commentaires Commentaires fermés sur Yahoo! publie un correctif pour son logiciel de messagerie instantanée

Dans une note du 7 Juin 2007, Yahoo annonce que deux des contrôles ActiveX intégrés à Yahoo! Messenger sont susceptibles d’être victimes d’attaques, et qu’un correctif est d’ores et déjà disponible.


Découvertes par eEye Digital Security , ces deux failles concernent deux fichiers DLL en charge de diffuser et de visionner la vidéo générée par la fonctionnalité de vidéoconférence de Yahoo! Messenger.

Les contrôles ActiveX Yahoo! Webcam peuvent être exploités par scripting depuis tout site Web, qui, s’il exploite la faille, peut faire exécuter du code qu’il a préalablement transmis aux contrôles fautifs.

La faille consiste en une absence de vérification de la taille de données lors d’opérations de copie en mémoire. En cas de dépassement, le bas de la pile est corrompu avec les données forgées par l’attaquant et une exception est générée. Le gestionnaire d’exception exécute alors les instructions placées dans la pile sans aucune discrimination.

Les risques encourus sont essentiellement des plantages d’Internet Explorer ou des déconnexions intempestives au service de messagerie instantanée. La prise de contrôle distante de la machine serait également envisageable…

Le correctif est disponible depuis http://messenger.yahoo.com/download.php .


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.