 | Notre équipe italienne de MsnTribe a en effet trouvé une légère fragilité dans l'utilitaire le plus utilisé dans le monde Messenger. En effet, il a été prouvé qu'un des modules de Messenger Plus! Live comporte un bug permettant à une personne malveillante de récupérer des données sensibles ou prendre le contrôle d'une machine. Une nouvelle version de Messenger Plus! Live a donc été publiée suite à notre avertissement auprès de Patchou : Messenger Plus! Live 4.60.326 ! |
Identification d'un bug léger...La fragilité identifiée ressemble au type Cross Site Scripting, plus couramment connue sous le nom de XSS. Le XSS est un type de faille de sécurité des sites Web, que l'on trouve typiquement dans les applications Web qui peuvent être utilisées par un attaquant pour faire afficher des pages Web contenant du code douteux. Le principe est d'injecter des données arbitraires dans un site web, par exemple en déposant un message dans un forum, mais aussi par des paramètres d'URL, etc, pour exécuter du code malveillant, en JavaScript par exemple, par le navigateur web qui consulte cette page. ... pas de menace directe de sécuritéAprès avoir débattu avec l'équipe italienne et Patchou, le créateur de l'add-on, il a été convenu que ce bug ne représente pas une menace directe pour la sécurité des utilisateurs ! En effet, le problème identifié n'est pas comme les problèmes habituels de XSS qui pourraient toucher des utilisateurs à leur insu. Pour arriver à manipuler l'ordinateur d'un contact, celui-ci doit préalablement faire toute une série de manipulations plus ou moins douteuses que nous n'exposerons pas pour des raisons de sécurité. Si malheureusement une personne installait un programme néfaste, celui-ci pourrait exploiter le bug afin d'exécuter certaines actions : - Affichage d'un contenu externe indépendant de Messenger Plus! Live
- Redirection (parfois de manière transparente) de l'utilisateur
- Vol d'informations, par exemple sessions et cookies
- Manipulation du compte MSN (envois de messages, suppression de données...)
- Plantage du logiciel voire du système (boucle infinie d'alertes par exemple)
|
Patchou a créé une nouvelle version pour corriger ce bug : 4.60.326. L'installation devrait se faire automatiquement si vous avez choisi cette option dans les Préférences. Vous pouvez aussi la télécharger ici : Messenger Plus! Live La Prévention : seul mot d'ordreComme pour éviter une éventuelle infection par des virus MSN, il convient de prendre plusieurs précautions en utilisant Messenger : - Ne pas cliquer sur des liens inconnus
- Ne pas accepter de conversation vidéo et/ou audio d'inconnus
- N'accepter un contact dans votre liste que si vous le connaissez
- Ne pas accepter de transferts de personnes inconnues
- Utiliser un antivirus à jour
- Utiliser un pare-feu, même léger
|
Pour certains, ces précautions semblent évidentes, mais le nombre de personnes infectées par des trojans envoyant des messages à leur insu nous montre que ces précautions ne font pas l'unanimité parmi les chatteurs... N'oubliez pas de télécharger la dernière version de Messenger Plus! Live qui corrige ce bug : Télécharger Messenger Plus! Live 4.60.326
Des lecteurs ont laissé 3 commentaires. No.1 Commentaire
au moins, ils ont pris le temps de vérifier leur msn plus No.2 Commentaire
cete deja la 326 avant croit No.3 Commentaire
Non, Patchou a mis a jour son Msg Plus Live il y a 3h :). |
Nous faire connaitre 
Messenger Mac
