Bonjour,

Le McAfee Avert Labs, centre de sécurité de l’éditeur de solutions de sécurité, alerte d’une faille dans Yahoo Messenger. Le message initial a été posté sur plusieurs forums de sécurité chinois et concerne a priori la version 8.1.0.413 du logiciel de communication, soit la dernière en circulation. Rien n’est bien certain encore, mais il s’agirait d’un débordement de mémoire de type heap overflow.

Aucun code n’exploitant cette lacune n’a été posté à ce jour, cependant McAfee est parvenu à constater et reproduire cette vulnérabilité. La société souligne par ailleurs que la faille n'a aucun lien avec celles découvertes dans le module webcam en juin dernier.

En pratique, l’attaque côté client est rendue possible lors de l’acceptation d’une discussion en visioconférence sous ce logiciel. Elle permet alors de faire exécuter du code arbitraire sur la machine de l’internaute. Faute de mieux, McAfee suggère de ne pas accepter ces invitations provenant d’une source inconnue, voire de bloquer le port TCP 5100 tant que la vulnérabilité n’aura pas été colmatée. Une issue qui ne devrait plus tarder, Yahoo travaillant sur cette brèche.

source