La découverte d’une vulnérabilité de type « stack overflow » dans le logiciel AIM cause bien des tracas aux utilisateurs de la messagerie instantanée AOL. Située dans le module de gestion de messages d’absences, cette faille pourrait permettre l’exécution distante de code arbitraire sur une machine cible. Son exploitation se ferait via un lien hypertexte « aim : » appelant la fonction goaway « goaway?message » suivie d’un argument anormalement long (plus de 1024 bytes). Bien évidemment, ce lien pourrait être placé sur un site internet « tiers » ou envoyé en masse par email. Selon la société iDefense, bien que AIM ait été développé avec Microsoft Visual Studio .NET 2003 et bénéficie donc d’une protection de la pile d’exécution, la faille est tout de même exploitable. La version 5.5 de AIM est touchée par ce problème de sécurité mais il semblerait que les versions antérieures le soient aussi. Seules les plateformes Microsoft Windows sont concernées par ce bug. Une solution temporaire proposée pour se protéger consiste à effacer cette clé dans la base de registre « HKEY_CLASSES_ROOTaim » ce qui aurait pour effet d’empêcher l’exécution d’AIM lorsque l’utilisateur suit un lien hypertexte « aim : ». Enfin, AOL préconise l’installation de la dernière version BETA de son programme de messagerie instantanée qui ne semble pas souffrir de la vulnérabilité découverte.
Aurélien Cabezon pour Vulnerabilite.com
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…