Yahoo Messenger en proie à plusieurs failles critiques

Cloud

Deux vulnérabilités découvertes dans le logiciel de messagerie instantanée
pourraient entraîner l’exécution à distance d’un code arbitraire.

Deux vulnérabilités « extrêmement critiques » ont été découvertes dans Yahoo Messenger. Exploitées par des utilisateurs malveillants, ces failles pourraient compromettre le système pris pour cible.

Les erreurs de frontière ont été confirmées dans la version 8.1.0.249 du logiciel de messagerie, mais d’autres versions pourraient également être affectées.

Les deux failles sont situées au niveau du composant Yahoo Webcam du logiciel. Les problèmes apparaissent dans le fichier ‘ywcupl.dll’ qui gère le service Webcam Upload ainsi que dans le fichier ‘ywcvwr.dll’ qui gère le service Webcam Viewer.

Les deux contrôles ActiveX peuvent être exploités pour assigner une chaîne trop longue à la propriété Server et utiliser les actions ‘Send()’ ou ‘Receive()’. Une exécution réussie peut ensuite entraîner l’exécution de code arbitraire sur la machine affectée.

L’éditeur de solutions de sécurité Secunia a attribué aux failles le classement « extrêmement critique », son niveau de sévérité le plus élevé, en précisant que le problème pouvait être contourné en modifiant les paramètres Kill-Bit des contrôles ActiveX affectés (parmètres permettant d’indiquer qu’un contrôle ActiveX ne doit plus jamais être utilisé).

Traduction d’un article de Vnunet.com en date du 7 juin 2007