Trillian : deux vulnérabiltés critiques identifiées

Alors que certains utilisateurs se languissent d'attendre la sortie de sa mouture estampillée 4 qui outre des fonctionnalités Web 2.0, apportera la prise en charge des environnements Linux et Mac OS X, le client de messagerie propriétaire multi-protocoles ( ICQ, AIM, IRC, MSN, Yahoo ) Trillian refait parler de lui dans la rubrique sécurité, suite à la découverte de deux nouvelles vulnérabilités l'affectant.


Méfiance vis-à-vis des adresses aim://
Selon la société danoise Secunia, Trillian dans sa version 3.1.6.0 datant du mois de juin et justement publiée pour corriger une faille, est victime de deux vulnérabilités qualifiées de hautement critiques exploitables à distance :

• Une erreur au niveau du traitement de certaines URI de type " aim:// " où le paramètre " ini " est présent. Cette faille pourrait être exploitée afin de créer via la visite d'une page Web malicieuse, un fichier batch de lignes de commandes dans le dossier de démarrage de Windows.
• Un débordement de tampon impliquant la gestion des URI " aim:// " par le plugin aim.dll.
  

Dans l'attente d'un correctif officiel, il est conseillé aux utilisateurs de Trillian, de désactiver la prise en charge des URI " aim:// ".