S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Une faille dans Yahoo Messenger permet une modification du statut

Limitez les messages à ceux de votre liste de contacts

Une importante faille a été détectée par l’éditeur BitDefender dans le client de messagerie Yahoo Messenger. Importante car elle permet ni plus ni moins que de changer le message de statut d’un utilisateur de manière arbitraire, offrant une visibilité conséquente à un message conçu pour être malveillant.

yahoo bitdefender

La faille est de type zero-day et peut déjà être exploitée. Selon BitDefender, le statut d’un utilisateur peut être modifié lorsque l’on lui simule un envoi de fichier. Le paramètre « $InlineAction », qui reflète l’acception ou le refus de ce transfert, peut être manipulé afin de provoquer l’affichage d’un élément iFrame. S’il parvient à être chargé, le statut de l’utilisateur est alors modifiée arbitrairement et l’attaquant peut donc insérer le message qu’il souhaite.

yahoo bitdefender

Comme le souligne BitDefender, le passage par un message de statut est une attaque efficace car elle est particulièrement visible. De fait, l’intérêt principal n’est pas tant la modification du statut que le contenu du message lui-même. L’éditeur parle ainsi d’un scénario possible : l’affichage d’un lien pointant vers une page conçue spécifiquement pour exploiter une faille dans un autre composant. Par exemple, dans le navigateur lui-même ou dans un plug-in tel que Java ou Flash.

Une fois exploitée, elle pourrait permettre la mise en place d'un malware sur la machine. Si l’utilisateur initial n’y fait pas attention, il peut ne pas remarquer que son statut a été modifié et qu’il diffuse un lien malveillant.

Le degré de vulnérabilité dépend essentiellement de deux paramètres. L’un est prévisible : la présence ou non d’une solution de sécurité, BitDefender prenant évidemment la menace en compte. L’autre est accessible par tout le monde : régler l’application pour lui indiquer que seuls les messages des contacts faisant déjà partie de la liste personnelle puissent être reçues. Il sera de fait impossible de vous envoyer un message si l’expéditeur n’a pas d’abord été accepté dans votre liste de contacts. Ajoutons à ce sujet que tous les clients de messagerie proposent ce type d’option.

BitDefender indique avoir déjà repéré des attaques basées sur cette faille et que la documentation a déjà été envoyée à Yahoo.
Source : BitDefender
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 05/12/2011 à 11:13

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 12 commentaires

Avatar de refuznik INpactien
refuznik Le lundi 5 décembre 2011 à 12:45:34
Inscrit le samedi 6 janvier 07 - 1678 commentaires
Et c'est quel type de vulnérabilité actuellement sur le forum de PCINpact ?
Avatar de mo6h INpactien
mo6h Le lundi 5 décembre 2011 à 13:12:58
Inscrit le vendredi 19 mai 06 - 845 commentaires
Et c'est quel type de vulnérabilité actuellement sur le forum de PCINpact ?


+1
Avatar de Hybrid Son Of Oxayotl INpactien
Hybrid Son Of Oxayotl Le lundi 5 décembre 2011 à 13:14:22
Inscrit le jeudi 24 juillet 08 - 5207 commentaires
Je ne suis pas sûr d'avoir bien compris, mais est-ce que l'«affichage d’un élément iFrame» permet de changer le statut aussi bien sur les clients à base de libpurple (comme Pidgin) que sur le client officiel ? Ça parait étrange que la faille marche dans les deux cas.
Avatar de Antwan INpactien
Antwan Le lundi 5 décembre 2011 à 13:56:49
Inscrit le mardi 10 juin 08 - 1313 commentaires
Qui utilise Yahoo, et plus spécialement Yahoo Messenger
Avatar de yvan INpactien
yvan Le lundi 5 décembre 2011 à 13:58:59
Inscrit le mardi 21 janvier 03 - 8124 commentaires
Ca concerne donc une infime minorité d'utilisateurs imprudents et maladivement curieux...
Avatar de Tolor Modérateur
Tolor Le lundi 5 décembre 2011 à 14:00:22
Inscrit le mercredi 5 août 09 - 12180 commentaires
Qui utilise Yahoo, et plus spécialement Yahoo Messenger

Tips : il n'y a pas que la France dans le monde
Avatar de RRMX INpactien
RRMX Le lundi 5 décembre 2011 à 16:01:46
Inscrit le mardi 5 août 08 - 861 commentaires
Qui utilise Yahoo, et plus spécialement Yahoo Messenger

Qui se prend pour le centre du monde, à part les naïfs
Avatar de atomusk Modérateur
atomusk Le lundi 5 décembre 2011 à 16:35:24
Inscrit le mardi 20 juillet 04 - 21740 commentaires

Qui se prend pour le centre du monde, à part les naïfs


Qui veux se faire modérer ses commentaires ?

(au passage j'utilise Yahoo messenger parce qu'historiquement tous mes contacts sont dessus )
Avatar de Consultant INpactien
Consultant Le lundi 5 décembre 2011 à 16:56:14
Inscrit le mardi 13 juin 06 - 18231 commentaires
Perso j'ai pas mal utilisé yahoo messenger à ces débuts mais bon suite à la perte d'un mot de passe que yahoo à été incapable de retrouver j'ai abandonné cet éditeur :)
Avatar de lordofsoul INpactien
lordofsoul Le lundi 5 décembre 2011 à 19:30:03
Inscrit le mardi 16 janvier 07 - 939 commentaires
"M. Michu a modifié son statut "en couple" en "c'est compliqué"" Ah pardon, je confonds...
;