Yahoo! Messenger n'est plus du tout une priorité pour la firme, et le logiciel ne subit plus aucune mise à jour depuis plus de trois ans. Pourtant, l'application est utilisée par une grande partie des 800 millions d'utilisateurs du portail d'autant que le service est intégré dans Yahoo! Mail.
Julien Ahrens, un hacker, a récemment indiqué comment une faille présentée en mai 2014 ne serait pas corrigée par Yahoo! qui semble ne plus s'inquiéter de l'avenir de sa messagerie ni de ses utilisateurs. Selon lui, Yahoo! aurait indiqué ne pas proposer de mise à jour visant à combler la faille CVE-2014-7216 dont les détails ont été rendus publics récemment.
De fait, un pirate peut s'introduire chez n'importe quel utilisateur simplement en proposant un fichier malveillant prenant l'apparence d'un pack d'émoticônes. L'attaque exploite le dépassement de tampon et ouvre ainsi un accès au hacker lui permettant d'exécuter du code.
À l'origine de la découverte de la faille, Julien Ahrens indique ne pas avoir touché un centime de récompense de la part de Yahoo. Sa découverte entre pourtant bien dans le cadre de la chasse au bugs organisée par la firme.
Contactée par The Register, Yahoo! indique avoir mené une enquête dès que la faille lui a été communiquée. Résultat : les experts ont jugé que la mise en place d'une attaque était complexe et qu'il y avait donc peu de risques de voir la brèche être exploitée. La faille n'a donc pas été considérée comme sérieuse.