Retour au site
Connexion :
Abonnement NewsletterOk
 

Faille Javascript chez Yahoo! Mail

Publiée par Alex le Mardi 13 Juin 2006

Brève Sécurité

Indiqué par Symantec et d'autres éditeurs spécialisés en sécurité informatique, Yamanner@m est un « ver » capable d'exploiter une vulnérabilité de la messagerie mail Yahoo sans que l'utilisateur n'ait besoin de cliquer sur une quelconque pièce jointe : une simple ouverture de l'email infecté suffit pour l'activer. Il se réplique ensuite via tous les contacts du carnet d'adresses et récupère toutes les coordonnées pour les envoyer à son émetteur.

Principale particularité de Yamanner@m : il est écrit en JavaScript et exploite une faille dans le processus qui interprète ce langage sur Yahoo! Mail. L'ouverture du message infecté suffit donc à l'activer, alors que les virus et vers sont généralement transportés par l'intermédiaire d'une pièce jointe vérolée. Précisons d'ailleurs que les usages de Yahoo! qui profitent de la nouvelle version de la messagerie (encore en bêta limitée) ne risquent rien.

Le message incriminé se présente sous le sujet « New Graphic Site », et peut émaner de l'adresse av3@yahoo.com, que Yahoo! recommande de bloquer. Sur les quelque 200 millions de comptes que compte le portail américain, seuls une « infime » portion aurait été affectée par Yamanner@m. « Nous avons pris des mesures pour régler ce problème et protéger nos utilisateurs de nouvelles attaques de ce ver », a déclaré Kelley Podboy, porte-parole de Yahoo.
Actu précédente
Brève suivante
Les Commentaires des lecteurs
_
Continuer sur le forum
20 messages
1
2
>
 
le 13 Juin 06 à 16h11
Edition
 
C'est là qu'on voit l'avantage des mails en lignes, si une faille affecte le "client", suffit d'une requête SQL (bon je simplifie) pour éliminer tous les mails jugés dangeureux chez tous les utilisateurs.
 
le 13 Juin 06 à 16h17
Edition
 
Je ne partage pas ton point de vue... Un mail qui infecte dès son ouverture, ca peut faire pas mal de degats avant sa decouverte...
 
le 13 Juin 06 à 16h18
Edition
 
Petite question : comment faire dans le nouveau yahoo mail pour supprimer le message sans le selectionner (ce qui qui revient a l'ouvrir sur le nouveau yahoo mail).
Ce que ce fonctionnement ne risque t'il pas de favoriser ce genre de virus
Sur le webmail de wanadoo par exemple vous pouvez supprimer le mail sans afficher le corps du message (case a cocher a gauche du message)
 
le 13 Juin 06 à 16h27
Edition
 
cartes a écrit:
Petite question : comment faire dans le nouveau yahoo mail pour supprimer le message sans le selectionner (ce qui qui revient a l'ouvrir sur le nouveau yahoo mail).
Ce que ce fonctionnement ne risque t'il pas de favoriser ce genre de virus
Sur le webmail de wanadoo par exemple vous pouvez supprimer le mail sans afficher le corps du message (case a cocher a gauche du message)


C'est pas possible de supprimer un message sans le sélectionner, par contre tu peux le sélectionner sans l'afficher.
C'est tout simple :
Pour pas qu'il s'affiche dans la fenêtre de visualisation en-dessous, suffit de faire "ctrl + click sur message", au lieu de clicker directement dessus, puis de choisir "Supprimer" ou taper sur la touche "Suppr."

voilà !
 
le 13 Juin 06 à 16h54
Edition
 
alexat a écrit:
C'est pas possible de supprimer un message sans le sélectionner, par contre tu peux le sélectionner sans l'afficher.
C'est tout simple :
Pour pas qu'il s'affiche dans la fenêtre de visualisation en-dessous, suffit de faire "ctrl + click sur message", au lieu de clicker directement dessus, puis de choisir "Supprimer" ou taper sur la touche "Suppr."

voilà !


CTRL+ALT+F+J+è+¨+£+╝+Ã e tu peux le supprimer.... Mais y fau être l'homme poulpe :ane: :ane: :ane: :ane: :ane:
 
le 13 Juin 06 à 16h56
Edition
 
Drudwyn a écrit:
CTRL+ALT+F+J+è+¨+£+╝+Ã e tu peux le supprimer.... Mais y fau être l'homme poulpe    :ane:  :ane:  :ane:  :ane:  :ane:


flute jtrouve pas la touche ╝ comment jfais? :ane:
 
le 13 Juin 06 à 18h17
Edition
 
alexat a écrit:
C'est pas possible de supprimer un message sans le sélectionner, par contre tu peux le sélectionner sans l'afficher.
C'est tout simple :
Pour pas qu'il s'affiche dans la fenêtre de visualisation en-dessous, suffit de faire "ctrl + click sur message", au lieu de clicker directement dessus, puis de choisir "Supprimer" ou taper sur la touche "Suppr."

voilà !


on peut désactiver le volet de visualisation des mails
je l'ai fait l'autre jour par hasard

@+
 
le 13 Juin 06 à 18h54
Edition
 
Cool comment ?

Style je te dit qu'on peut mais pas comment ^^
 
le 13 Juin 06 à 20h07
Edition
 
acidbao a écrit:
C'est là qu'on voit l'avantage des mails en lignes, si une faille affecte le "client", suffit d'une requête SQL (bon je simplifie) pour éliminer tous les mails jugés dangeureux chez tous les utilisateurs.


De la même façon avec les mails en ligne, si un mail arrive à tirer parti d'un faille en une requête SQL il peut détruire toute la base, et donc tous les mails.
 
le 13 Juin 06 à 20h20
Edition
 
Un worm en javascript, sympas :)
J'avais déjà fait ce genre de chose ya moult temps, à l'époque des webmail grouillère, c'est pas si simple à faire mais c'est amusant.
 
le 13 Juin 06 à 20h31
Edition
 
"Un worm en javascript, sympas"

Ouai nan mais là y'a meme des worms 3D.
J'ai honte ...
 
le 13 Juin 06 à 20h58
Edition
 
prodejeu a écrit:
De la même façon avec les mails en ligne, si un mail arrive à tirer parti d'un faille en une requête SQL il peut détruire toute la base, et donc tous les mails.

Oui sauf qu'il y a peut de chance que les mails soient stockés dans des bases de données quand même.
 
le 13 Juin 06 à 21h17
Edition
 
prodejeu a écrit:
De la même façon avec les mails en ligne, si un mail arrive à tirer parti d'un faille en une requête SQL il peut détruire toute la base, et donc tous les mails.


Faudrait vraiment pas être doué, on parle de client web mail, pas de phpBB :riva: :MDR
 
le 14 Juin 06 à 10h48
Edition
 
petit-ourson a écrit:
Oui sauf qu'il y a peut de chance que les mails soient stockés dans des bases de données quand même.

Donc tu les stockes où? :neutre:
 
le 14 Juin 06 à 12h46
Edition
 
tampigns a écrit:
Donc tu les stockes où? :neutre:


Sur des filers cyrus, 1 mail = 1 fichier...
 
le 14 Juin 06 à 12h56
Edition
 
Galiléoo a écrit:
Cool comment ?

Style je te dit qu'on peut mais pas comment ^^

Ben facile, suffit d'appuyer sur la touche v ou alors d'aller dans Afficher > Panneau de lecture :p
 
le 14 Juin 06 à 18h34
Edition
 
bugsan a écrit:
Un worm en javascript, sympas :)
J'avais déjà fait ce genre de chose ya moult temps, à l'époque des webmail grouillère, c'est pas si simple à faire mais c'est amusant.


:heink: tres interressant ... tu es doué, et c'est bien :)

MarneusCalgarXP a écrit:
Sur des filers cyrus, 1 mail = 1 fichier...



Ca fait pas gagner de la place tout ca, je pense pas que cette utilisation ait été retenue
 
le 15 Juin 06 à 01h44
Edition
 
Moi j'utilise thunderbird pour me connecter au serveur pop3: pop.mail.yahoo.fr
 
le 12 Oct. 06 à 16h11
Edition
 
Mais à part se reproduire en s'automailant à tout les contacts de quelqu'un, il fait quoi ? Bon, le risque, c'est de blinder des boites mails, c'est déja assez pénible, mais ça reste quand meme assez inoffensif.
 
Continuer sur le forum
20 messages
1
2
>