Secunia a indiqué que cette faille affecte l'ensemble des versions de Yahoo! Messenger de la 5.0 à 8.0. Il s'agit notamment des versions téléchargées avant le 2 novembre 2006 qui seraient concernées. Les utilisateurs sous Windows doivent mettre à jour leur version de Yahoo Messenger vers la version 8.1 ou supérieure.
ActiveX pose problème
La faille identifiée a pour origne le contrôle ActiveX pouvant être utilisé par une attaque de type débordement de tampon ( buffer overflow ). Ce composant fait parti de la sélection de services Yahoo! proposée lors de l'installation de Yahoo! Messenger.
Pour indication, les attaques par débordement de tampon, parfois également appelées dépassement de tampon, ont pour principe l'exécution de code inconnu par un programme en lui envoyant plus de données qu'il ne peut en recevoir. Il s'agit ici de la fonction vocale du Chat qui est affectée.
Dans le cas présent, Yahoo! Messenger accepte toutes les données et les stockent temporairement dans une zone de la mémoire tampon. Or actuellement cette fonction vocale ne gère pas correctement ce type de débordement ce qui provoque un plantage du programme. L'exécution du code (par exemple le code HTML d'une page web) peut ainsi donner un accès au système par un utilisateur malveillant.
