La découverte d’une vulnérabilité de type « stack overflow » dans le logiciel AIM cause bien des tracas aux utilisateurs de la messagerie instantanée AOL. Située dans le module de gestion de messages d’absences, cette faille pourrait permettre l’exécution distante de code arbitraire sur une machine cible. Son exploitation se ferait via un lien hypertexte « aim : » appelant la fonction goaway « goaway?message » suivie d’un argument anormalement long (plus de 1024 bytes). Bien évidemment, ce lien pourrait être placé sur un site internet « tiers » ou envoyé en masse par email. Selon la société iDefense, bien que AIM ait été développé avec Microsoft Visual Studio .NET 2003 et bénéficie donc d’une protection de la pile d’exécution, la faille est tout de même exploitable. La version 5.5 de AIM est touchée par ce problème de sécurité mais il semblerait que les versions antérieures le soient aussi. Seules les plateformes Microsoft Windows sont concernées par ce bug. Une solution temporaire proposée pour se protéger consiste à effacer cette clé dans la base de registre « HKEY_CLASSES_ROOTaim » ce qui aurait pour effet d’empêcher l’exécution d’AIM lorsque l’utilisateur suit un lien hypertexte « aim : ». Enfin, AOL préconise l’installation de la dernière version BETA de son programme de messagerie instantanée qui ne semble pas souffrir de la vulnérabilité découverte.
Aurélien Cabezon pour Vulnerabilite.com
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…
Les grands de l'IT suppriment des milliers de jobs au nom du déploiement de. Une…
Quatre ans après l’appel de Rome - un pacte présenté en 2020 par le Vatican…
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…