Une faille dans Yahoo Messenger permet une modification du statut

Limitez les messages à ceux de votre liste de contacts 12
Une importante faille a été détectée par l’éditeur BitDefender dans le client de messagerie Yahoo Messenger. Importante car elle permet ni plus ni moins que de changer le message de statut d’un utilisateur de manière arbitraire, offrant une visibilité conséquente à un message conçu pour être malveillant.

yahoo bitdefender

La faille est de type zero-day et peut déjà être exploitée. Selon BitDefender, le statut d’un utilisateur peut être modifié lorsque l’on lui simule un envoi de fichier. Le paramètre « $InlineAction », qui reflète l’acception ou le refus de ce transfert, peut être manipulé afin de provoquer l’affichage d’un élément iFrame. S’il parvient à être chargé, le statut de l’utilisateur est alors modifiée arbitrairement et l’attaquant peut donc insérer le message qu’il souhaite.

yahoo bitdefender

Comme le souligne BitDefender, le passage par un message de statut est une attaque efficace car elle est particulièrement visible. De fait, l’intérêt principal n’est pas tant la modification du statut que le contenu du message lui-même. L’éditeur parle ainsi d’un scénario possible : l’affichage d’un lien pointant vers une page conçue spécifiquement pour exploiter une faille dans un autre composant. Par exemple, dans le navigateur lui-même ou dans un plug-in tel que Java ou Flash.

Une fois exploitée, elle pourrait permettre la mise en place d'un malware sur la machine. Si l’utilisateur initial n’y fait pas attention, il peut ne pas remarquer que son statut a été modifié et qu’il diffuse un lien malveillant.

Le degré de vulnérabilité dépend essentiellement de deux paramètres. L’un est prévisible : la présence ou non d’une solution de sécurité, BitDefender prenant évidemment la menace en compte. L’autre est accessible par tout le monde : régler l’application pour lui indiquer que seuls les messages des contacts faisant déjà partie de la liste personnelle puissent être reçues. Il sera de fait impossible de vous envoyer un message si l’expéditeur n’a pas d’abord été accepté dans votre liste de contacts. Ajoutons à ce sujet que tous les clients de messagerie proposent ce type d’option.

BitDefender indique avoir déjà repéré des attaques basées sur cette faille et que la documentation a déjà été envoyée à Yahoo.
Publiée le 05/12/2011 à 11:13 - Source : BitDefender
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €

Publicité