MSN Messenger affecté par une faille critique

Une nouvelle vulnérabilité a été identifiée sur l’application de messagerie instantanée MSN Messenger. Cette vulnérabilité se situe au niveau du composant tchat vidéo de MSN Messenger; exploitée, elle peut permettre à un pirate d’exécuter du code à distance sur un système cible. La vulnérabilité n’affecte pas la dernière version de l’application, désormais connue sous le nom de Windows Live Messenger 8.1.

Un pirate peut exploiter la faille en injectant du code malveillant dans une invitation de tchat vidéo. Après avoir accepté l’invitation, le système visé peut subir un débordement de mémoire tampon, qui à son tour provoquera le plantage de l’application et permettra au pirate d’exécuter du code malveillant.

La découverte de la vulnérabilité a été attribuée à un chercheur connu sous le pseudonyme « Wushi ». L’éditeur de solutions de sécurité Secunia a attribué à cette vulnérabilité le classement « hautement critique », son deuxième niveau d’alerte sur cinq.

Un porte-parole de Microsoft a assuré que la faille faisait actuellement l’objet de recherches. Microsoft et Secunia recommandent aux utilisateurs de migrer vers Windows Live Messenger 8.1. Secunia invite également les utilisateurs des versions précédentes à décliner toutes les invitations de chat vidéo non sollicitées.

Une faille similaire a été signalée il y a deux semaines sur Yahoo Messenger. Comme la vulnérabilité de MSN Messenger, cette faille permettait à un pirate d’exécuter du code arbitraire via une invitation de discussion.

Traduction d’un article de Vnunet.com en date du 28 août 2007.