AOL reconnaît l’existence d’une faille critique dans son logiciel de partage d’images AOL Pictures.
AOL, une fois n’est pas coutume, vient de rendre publique l’existence d’une faille déjà comblée : l’été dernier, le premier fournisseur mondial d’accès à Internet apportait un correctif à une vulnérabilité affectant la DLL (Dynamic Link Library) ‘’YGPPicFinder.DLL’’ de ses logiciels AOL 8.0, AOL 8.0 Plus (non diffusé en France) et AOL 9.0 Classic. Ladite DLL intervient dans le fonctionnement de l’application de partage d’images AOL Pictures, anciennement dénommée ‘’You’ve Got Pictures’’.
Il y a quelques semaines, AOL annonçait que ce service allait changer de physionomie, et devenir plus convivial. C’est à l’occasion de ce changement que le correctif a été discrètement introduit ; c’est d’ailleurs le caractère furtif de la démarche qui dérange un peu, aujourd’hui.
En octobre 2005, en effet, les utilisateurs des versions susmentionnées d’AOL voyaient une mise à jour automatiquement modifier leur logiciel, sans plus de précision ni d’explication. Pour autant, une petite partie des clients d’AOL pourraient encore se montrer vulnérables à cette faille, qui peut occasionner des dénis de service, voire l’exécution arbitraire d’un code malicieux.
AOL recommande aux derniers clients qui ne l’auraient pas encore fait de passer directement à AOL 9.0 Security Edition (version proposée d’office en France, avec pare-feu McAfee gratuit pour les usagers ADSL, et anti-virus optionnel, mais aussi filtre anti-popups).
Un correctif reste disponible au téléchargement pour les réfractaires : AOL 9.0 peut être téléchargé depuis le site d’AOL, mais il ‘’pèse’’ plusieurs dizaines de Mo, ce qui demeure peu confortable à télécharger en bas débit, par exemple.
L’éditeur de sécurité informatique Secunia a donné à cette faille le qualificatif de ‘’critique’’, ce qui implique la possibilité d’une prise de contrôle du PC incriminé à distance. La French Security Incident Response Team estime quant à elle que le contrôle ActiveX responsable de la corruption de la DLL citée plus haut, et qui gère mal les instructions trop longues, mérite également d’être qualifié de faille ‘’critique’’.
AOL, une fois n’est pas coutume, vient de rendre publique l’existence d’une faille déjà comblée : l’été dernier, le premier fournisseur mondial d’accès à Internet apportait un correctif à une vulnérabilité affectant la DLL (Dynamic Link Library) ‘’YGPPicFinder.DLL’’ de ses logiciels AOL 8.0, AOL 8.0 Plus (non diffusé en France) et AOL 9.0 Classic. Ladite DLL intervient dans le fonctionnement de l’application de partage d’images AOL Pictures, anciennement dénommée ‘’You’ve Got Pictures’’.
Il y a quelques semaines, AOL annonçait que ce service allait changer de physionomie, et devenir plus convivial. C’est à l’occasion de ce changement que le correctif a été discrètement introduit ; c’est d’ailleurs le caractère furtif de la démarche qui dérange un peu, aujourd’hui.
En octobre 2005, en effet, les utilisateurs des versions susmentionnées d’AOL voyaient une mise à jour automatiquement modifier leur logiciel, sans plus de précision ni d’explication. Pour autant, une petite partie des clients d’AOL pourraient encore se montrer vulnérables à cette faille, qui peut occasionner des dénis de service, voire l’exécution arbitraire d’un code malicieux.
AOL recommande aux derniers clients qui ne l’auraient pas encore fait de passer directement à AOL 9.0 Security Edition (version proposée d’office en France, avec pare-feu McAfee gratuit pour les usagers ADSL, et anti-virus optionnel, mais aussi filtre anti-popups).
Un correctif reste disponible au téléchargement pour les réfractaires : AOL 9.0 peut être téléchargé depuis le site d’AOL, mais il ‘’pèse’’ plusieurs dizaines de Mo, ce qui demeure peu confortable à télécharger en bas débit, par exemple.
L’éditeur de sécurité informatique Secunia a donné à cette faille le qualificatif de ‘’critique’’, ce qui implique la possibilité d’une prise de contrôle du PC incriminé à distance. La French Security Incident Response Team estime quant à elle que le contrôle ActiveX responsable de la corruption de la DLL citée plus haut, et qui gère mal les instructions trop longues, mérite également d’être qualifié de faille ‘’critique’’.
Source :
eWeek
