Messenger Plus! Live 4.60.326 corrige un bug de...
Notre équipe italienne de MsnTribe a en effet trouvé une légère fragilité dans l'utilitaire le plus utilisé dans le monde Messenger.
En effet, il a été prouvé qu'un des modules de Messenger Plus! Live comporte un bug permettant à une personne malveillante de récupérer des données sensibles ou prendre le contrôle d'une machine.
Une nouvelle version de Messenger Plus! Live a donc été publiée suite à notre avertissement auprès de Patchou : Messenger Plus! Live 4.60.326 !
Identification d'un bug léger...La fragilité identifiée ressemble au type Cross Site Scripting, plus couramment connue sous le nom de XSS.
Le XSS est un type de faille de sécurité des sites Web, que l'on trouve typiquement dans les applications Web qui peuvent être utilisées par un attaquant pour faire afficher des pages Web contenant du code douteux.
Le principe est d'injecter des données arbitraires dans un site web, par exemple en déposant un message dans un forum, mais aussi par des paramètres d'URL, etc, pour exécuter du code malveillant, en JavaScript par exemple, par le navigateur web qui consulte cette page.
... pas de menace directe de sécurité
Après avoir débattu avec l'équipe italienne et Patchou, le créateur de l'add-on, il a été convenu que ce bug ne représente pas une menace directe pour la sécurité des utilisateurs !
En effet, le problème identifié n'est pas comme les problèmes habituels de XSS qui pourraient toucher des utilisateurs à leur insu.
Pour arriver à manipuler l'ordinateur d'un contact, celui-ci doit préalablement faire toute une série de manipulations plus ou moins douteuses que nous n'exposerons pas pour des raisons de sécurité.
Si malheureusement une personne installait un programme néfaste, celui-ci pourrait exploiter le bug afin d'exécuter certaines actions :
- Affichage d'un contenu externe indépendant de Messenger Plus! Live
- Redirection (parfois de manière transparente) de l'utilisateur
- Vol d'informations, par exemple sessions et cookies
- Manipulation du compte MSN (envois de messages, suppression de données...)
- Plantage du logiciel voire du système (boucle infinie d'alertes par exemple)
Patchou a créé une nouvelle version pour corriger ce bug : 4.60.326.
L'installation devrait se faire automatiquement si vous avez choisi cette option dans les Préférences.
Vous pouvez aussi la télécharger ici : Messenger Plus! Live
La Prévention : seul mot d'ordreComme pour éviter une éventuelle infection par des virus MSN, il convient de prendre plusieurs précautions en utilisant Messenger :
- Ne pas cliquer sur des liens inconnus
- Ne pas accepter de conversation vidéo et/ou audio d'inconnus
- N'accepter un contact dans votre liste que si vous le connaissez
- Ne pas accepter de transferts de personnes inconnues
- Utiliser un antivirus à jour
- Utiliser un pare-feu, même léger
Pour certains, ces précautions semblent évidentes, mais le nombre de personnes infectées par des trojans envoyant des messages à leur insu nous montre que ces précautions ne font pas l'unanimité parmi les chatteurs...
N'oubliez pas de télécharger la dernière version de Messenger Plus! Live qui corrige ce bug :
Télécharger Messenger Plus! Live 4.60.326
- China Telecom et Microsoft signent un partenariat - Publiée le vendredi 21 novembre 2008
- Windows Live Messenger 9 : Un concept visionnaire - Publiée le mercredi 19 novembre 2008
Se connecter à Meebo
Voici comment se connecter et utiliser Meebo.
Se connecter à Ebuddy
Voici comment utiliser et se connecter à Ebuddy
- Nouvelle version de Yahoo! Messenger
- Windows Live Messenger 9 : Un concept...
- Problème de connexion MSN - Erreur...
- AIM pour Mac et Windows Mobile :...
- Icônes Windows Live Wave 3
- Skin MSN Avatar et Smiley : Pour les...
- Messenger Awards : Serie TV 2008
- Comparatif Compte Mail : Yahoo!...
- Windows Live Wave 3 pour décembre
- Exclusivité : Aperçu du futur Hotmail
