A l'abandon, Yahoo! Messenger comporte une vulnérabilité non corrigée (maj)

Mise à jour en bas de page avec un communiqué de Yahoo!


Laissé à l'abandon depuis plusieurs années, le logiciel Yahoo! Messenger comporte une vulnérabilité que Yahoo! refuse de corriger.

Depuis l'arrivée de Marissa Mayer à la tête du portail Yahoo!, la société ne jure que par la croissance des usages mobiles. La firme de Sunnyvale a ainsi multiplié les applications et récemment présenté Yahoo! LiveText, une messagerie combinant le texte à la vidéo, sans le son. Celle-ci est issue du rachat de MessageMe en octobre 2014

Toutefois Yahoo! n'a pas pris le parti d'assurer la compatibilité avec Yahoo! Messenger, dont la dernière mouture stable date de mars 2012. Depuis plus de trois ans, le logiciel n'a reçu aucune mise à jour et comporte d'ailleurs toujours l'ancien logo de la société. Aucun chiffre récent n'a été communiqué par Yahoo! sur sa base d'utilisateurs mais le portail dans sa globalité compte 800 millions d'utilisateurs et le service est intégré au sein de Yahoo! Mail.

Puisque l'application est en fin de vie, Yahoo refuse de corriger un bug. C'est en tout cas ce que rapporte le hacker Julien Ahrens (via The Register). Estampillée sous l'appellation CVE-2014-7216, la vulnérabilité en question a été découverte en mai 2014 et les détails de celle-ci ont récemment été rendus publics.

035C000005895306-photo-yahoo-messenger-1998.jpg

Concrètement, un hacker peut proposer au téléchargement un fichier malveillant prenant l'apparence d'un ensemble d'émoticônes. Ce document XML effectuerait un dépassement de tampon ouvrant une porte permettant d'exécuter du code malveillant.

Notons au passage que Julien Ahrens affirme ne pas avoir reçu de récompense par Yahoo dans le cadre de son programme de chasse aux bugs... quand bien même l'application est toujours mentionnée au sein des conditions d'utilisation de la société.

Pour rappel, en 2014 nous apprenions que l'agence de renseignements britannique GCHQ ainsi que la NSA avaient hacké Yahoo! Messenger en capturant des images de la webcam issues des flux de conversations vidéo à raison d'un cliché toutes les 5 minutes.

Mise à jour :
La société Yahoo! s'est exprimée sur cette affaire et nous transmet le communiqué ci-dessous :

« Yahoo! prend la sécurité de ses utilisateurs très au sérieux et dès que nous avons été mis au courant de cette vulnérabilité potentielle, notre équipe a contacté le chercheur en sécurité et commencé une enquête. Comme le chercheur le note lui-même, "l'exploitation (de cette vulnérabilité) peut être complexe" et poserait de nouveaux obstacles technologiques. Au travers d'une enquête approfondie par notre équipe, nous avons déterminé que cette vulnérabilité n'était pas facilement exploitable et nécessite que les utilisateurs installent volontairement un logiciel tiers non supporté au sein de Messenger. (Elle) ne présente pas de menace de sécurité viable pour nos utilisateurs. Nous continuerons à travailler avec notre communauté florissante impliquée dans la chasse aux bugs pour assurer l'expérience la plus sécurisée possible pour nos utilisateurs »
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

FLoC, de Google, le traçage sans cookies : cohortes et protection des utilisateurs, nos explications
Détruire un satellite : l'art de la dissuasion militaire en orbite
Test Xgimi Horizon Pro : un vidéoprojecteur 4K polyvalent offrant une belle image
Airbnb et néo-nomadisme : 24% des réservations sont maintenant de plus de 4 semaines
Android 12 : la nouvelle interface se dévoile avant la Google I/O
Ethereum : tour d'horizon et chiffres clés sur l'écosystème de la deuxième cryptomonnaie mondiale
L'Italie condamne Google à une amende de 102 millions d'euros pour abus de position dominante
Netflix, Disney+, Apple TV+ et Prime video : quelles sont les nouveautés de la SVoD en mai 2021 ?
Chute de prix sur les Apple AirPods Pro chez Amazon 🔥
La Nuit des temps : le mythe du traducteur universel automatique
Haut de page