Faille critique sur AOL Messenger

Une faille jugée critique vient d’être découverte dans le logiciel de messagerie instantanée AIM Messenger et touche tous les utilisateurs de la version pour Microsoft Windows. AOL tarde à corriger proprement le problème.

La découverte d’une vulnérabilité de type « stack overflow » dans le logiciel AIM cause bien des tracas aux utilisateurs de la messagerie instantanée AOL. Située dans le module de gestion de messages d’absences, cette faille pourrait permettre l’exécution distante de code arbitraire sur une machine cible. Son exploitation se ferait via un lien hypertexte « aim : » appelant la fonction goaway « goaway?message » suivie d’un argument anormalement long (plus de 1024 bytes). Bien évidemment, ce lien pourrait être placé sur un site internet « tiers » ou envoyé en masse par email. Selon la société iDefense, bien que AIM ait été développé avec Microsoft Visual Studio .NET 2003 et bénéficie donc d’une protection de la pile d’exécution, la faille est tout de même exploitable. La version 5.5 de AIM est touchée par ce problème de sécurité mais il semblerait que les versions antérieures le soient aussi. Seules les plateformes Microsoft Windows sont concernées par ce bug. Une solution temporaire proposée pour se protéger consiste à effacer cette clé dans la base de registre « HKEY_CLASSES_ROOTaim » ce qui aurait pour effet d’empêcher l’exécution d’AIM lorsque l’utilisateur suit un lien hypertexte « aim : ». Enfin, AOL préconise l’installation de la dernière version BETA de son programme de messagerie instantanée qui ne semble pas souffrir de la vulnérabilité découverte.

Aurélien Cabezon pour Vulnerabilite.com