A l'abandon, Yahoo! Messenger comporte une vulnérabilité non corrigée (maj)

10 septembre 2015 à 11h03
0
Mise à jour en bas de page avec un communiqué de Yahoo!


Laissé à l'abandon depuis plusieurs années, le logiciel Yahoo! Messenger comporte une vulnérabilité que Yahoo! refuse de corriger.

Depuis l'arrivée de Marissa Mayer à la tête du portail Yahoo!, la société ne jure que par la croissance des usages mobiles. La firme de Sunnyvale a ainsi multiplié les applications et récemment présenté Yahoo! LiveText, une messagerie combinant le texte à la vidéo, sans le son. Celle-ci est issue du rachat de MessageMe en octobre 2014

Toutefois Yahoo! n'a pas pris le parti d'assurer la compatibilité avec Yahoo! Messenger, dont la dernière mouture stable date de mars 2012. Depuis plus de trois ans, le logiciel n'a reçu aucune mise à jour et comporte d'ailleurs toujours l'ancien logo de la société. Aucun chiffre récent n'a été communiqué par Yahoo! sur sa base d'utilisateurs mais le portail dans sa globalité compte 800 millions d'utilisateurs et le service est intégré au sein de Yahoo! Mail.

Puisque l'application est en fin de vie, Yahoo refuse de corriger un bug. C'est en tout cas ce que rapporte le hacker Julien Ahrens (via The Register). Estampillée sous l'appellation CVE-2014-7216, la vulnérabilité en question a été découverte en mai 2014 et les détails de celle-ci ont récemment été rendus publics.

035C000005895306-photo-yahoo-messenger-1998.jpg

Concrètement, un hacker peut proposer au téléchargement un fichier malveillant prenant l'apparence d'un ensemble d'émoticônes. Ce document XML effectuerait un dépassement de tampon ouvrant une porte permettant d'exécuter du code malveillant.

Notons au passage que Julien Ahrens affirme ne pas avoir reçu de récompense par Yahoo dans le cadre de son programme de chasse aux bugs... quand bien même l'application est toujours mentionnée au sein des conditions d'utilisation de la société.

Pour rappel, en 2014 nous apprenions que l'agence de renseignements britannique GCHQ ainsi que la NSA avaient hacké Yahoo! Messenger en capturant des images de la webcam issues des flux de conversations vidéo à raison d'un cliché toutes les 5 minutes.

Mise à jour :
La société Yahoo! s'est exprimée sur cette affaire et nous transmet le communiqué ci-dessous :

« Yahoo! prend la sécurité de ses utilisateurs très au sérieux et dès que nous avons été mis au courant de cette vulnérabilité potentielle, notre équipe a contacté le chercheur en sécurité et commencé une enquête. Comme le chercheur le note lui-même, "l'exploitation (de cette vulnérabilité) peut être complexe" et poserait de nouveaux obstacles technologiques. Au travers d'une enquête approfondie par notre équipe, nous avons déterminé que cette vulnérabilité n'était pas facilement exploitable et nécessite que les utilisateurs installent volontairement un logiciel tiers non supporté au sein de Messenger. (Elle) ne présente pas de menace de sécurité viable pour nos utilisateurs. Nous continuerons à travailler avec notre communauté florissante impliquée dans la chasse aux bugs pour assurer l'expérience la plus sécurisée possible pour nos utilisateurs »
Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

Cyberpunk 2077 : malgré les promesses de CD Projekt, le studio passe en mode crunch
L'énergie nucléaire continue de perdre du terrain face au solaire et à l'éolien
Orange : un forfait 5G avec data illimitée pour 80 euros par mois pourrait être bientôt lancé
Un ancien cadre dévoile la stratégie de Facebook pour être aussi addictif que le tabac
Fortement attendue, l'application britannique de traçage de la COVID massivement téléchargée
Environnement : Renault vous invite à couper votre moteur devant les écoles
Enchères 5G : Orange montre ses muscles, Free Mobile en retrait, le bilan de ce jour 1
PlayStation 5 : le gameplay de Demon's Souls montré par Sony ne tournait pas en 4K
Epic vs Apple : la juge trouve la stratégie d'Epic
scroll top