Le Computer emergency response team (Cert) a publié le 24 janvier une alerte au sujet d’une faille importante qui affecte ICQ, la messagerie instantanée appartenant à AOL-Time Warner. Un dépassement de mémoire tampon contrôlable à distance concerne les versions 2001A et antécédentes. Le Cert avertit que les « attaquants » capables d’exploiter la faille peuvent exécuter un code arbitraire sur l’ordinateur cible afin de prendre en main la machine de la victime. Bien que le Cert assure que ce bogue est connu, il souligne qu’il « ne pense pas qu’il se soit répandu dans la nature ». L’organisation ajoute : « Nous n’avons pas observé de ‘scan’ actif pour cette faille, et on ne nous a pas non plus rapporté de cas où elle aurait été exploitée. »
D’après les chiffres d’AOL, ICQ serait utilisé par environ 122 millions d’internautes. Le dépassement de mémoire tampon peut être exploité durant le lancement du message lié à la fonction « Voice Video and Games ». Ce message est supposé provenir d’un autre utilisateur d’ICQ invitant la victime à participer de manière interactive à une application tierce. Toutes les versions antérieures à la dernière mouture (la 2001B) sont vulnérables, indique l’alerte. La version 2001B l’est elle-même via un plug-in, mais ce problème est résolu directement dès la première connexion à un serveur ICQ. AOL recommande aux utilisateurs des versions vulnérables d’ICQ de passer immédiatement à la 2001B Beta v5.18 Build #3659.
Filtrez les connexions
Les mesures de protection alternatives consistent à bloquer les requêtes d’ICQ/SMS au niveau de votre firewall ainsi que les connexions vers login.icq.com et l’accès aux ports 4000/UDP, 5190/TCP et le port TCP employé par votre client ICQ, ou encore à empêcher le passage des messages suspects en refusant les connexions directes de quiconque dénué d’autorisation.
Un peu plus tôt ce mois-ci AOL a été contraint d’alerter ses utilisateurs de la présence d’une faille sur sa messagerie instantanée AIM (voir édition du 14 janvier 2002).
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…