La découverte d’une vulnérabilité de type « stack overflow » dans le logiciel AIM cause bien des tracas aux utilisateurs de la messagerie instantanée AOL. Située dans le module de gestion de messages d’absences, cette faille pourrait permettre l’exécution distante de code arbitraire sur une machine cible. Son exploitation se ferait via un lien hypertexte « aim : » appelant la fonction goaway « goaway?message » suivie d’un argument anormalement long (plus de 1024 bytes). Bien évidemment, ce lien pourrait être placé sur un site internet « tiers » ou envoyé en masse par email. Selon la société iDefense, bien que AIM ait été développé avec Microsoft Visual Studio .NET 2003 et bénéficie donc d’une protection de la pile d’exécution, la faille est tout de même exploitable. La version 5.5 de AIM est touchée par ce problème de sécurité mais il semblerait que les versions antérieures le soient aussi. Seules les plateformes Microsoft Windows sont concernées par ce bug. Une solution temporaire proposée pour se protéger consiste à effacer cette clé dans la base de registre « HKEY_CLASSES_ROOTaim » ce qui aurait pour effet d’empêcher l’exécution d’AIM lorsque l’utilisateur suit un lien hypertexte « aim : ». Enfin, AOL préconise l’installation de la dernière version BETA de son programme de messagerie instantanée qui ne semble pas souffrir de la vulnérabilité découverte.
Aurélien Cabezon pour Vulnerabilite.com
Une mise à jour de l'EDR Crowdstrike Falcon a planté une multitude de serveurs et…
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…