La découverte d’une vulnérabilité de type « stack overflow » dans le logiciel AIM cause bien des tracas aux utilisateurs de la messagerie instantanée AOL. Située dans le module de gestion de messages d’absences, cette faille pourrait permettre l’exécution distante de code arbitraire sur une machine cible. Son exploitation se ferait via un lien hypertexte « aim : » appelant la fonction goaway « goaway?message » suivie d’un argument anormalement long (plus de 1024 bytes). Bien évidemment, ce lien pourrait être placé sur un site internet « tiers » ou envoyé en masse par email. Selon la société iDefense, bien que AIM ait été développé avec Microsoft Visual Studio .NET 2003 et bénéficie donc d’une protection de la pile d’exécution, la faille est tout de même exploitable. La version 5.5 de AIM est touchée par ce problème de sécurité mais il semblerait que les versions antérieures le soient aussi. Seules les plateformes Microsoft Windows sont concernées par ce bug. Une solution temporaire proposée pour se protéger consiste à effacer cette clé dans la base de registre « HKEY_CLASSES_ROOTaim » ce qui aurait pour effet d’empêcher l’exécution d’AIM lorsque l’utilisateur suit un lien hypertexte « aim : ». Enfin, AOL préconise l’installation de la dernière version BETA de son programme de messagerie instantanée qui ne semble pas souffrir de la vulnérabilité découverte.
Aurélien Cabezon pour Vulnerabilite.com
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.