Messenger - ZOLEX Community: le portail web consacré à Windows Live & MSN Messenger - (ZOLEXLIVE - ZOLEXMSN) - Vulnérabilité critique identifiée dans MessengerFX

En ligne (62)

Paramètres

Bons Plans

Le Patch ZOLEX
Les Alertes ZOLEX
Clins d'oeil gratuits
Nos Flux RSS

Accueil

Archives
Goodies
Sondages
Newsletter
Rechercher
Proposer un article

Téléchargements

Proposer un fichier
MSN Messenger
Live Messenger
Msg Plus Skins

Forum de Discussions

Rechercher
Messages Privés
Nouveaux Messages

Contenu

Tutoriaux
Windows Live ?
Erreurs Messenger

Divers

Solidarité
Liens Web
Sitemap
Contact
Partenaires

Espace Portables

Tunning Phone

Sms
Logos
Cartoons
Logos Couleurs
Hi-Fi
Sonneries
Polyphoniques
Répondeurs
Jeux Java

Adultes

Espace Partenaires

Partenaires

Secunews
Job Etudiant
MessLive
Blixenstudio
Poudlard Interactif

Espace Annonceurs

Vulnérabilité critique identifiée dans MessengerFX

Transmis par eagle1, Publié le 16 Mai 2008

Alerte Faille

MessengerFX est un client populaire pour Windows Live Messenger (anciennement MSN Messenger) écrit en AJAX.
Sa spécificité et de permettre de se connecter au réseau via un simple navigateur web.

En voulant coller du code HTML lapin-blanc.net c'est rendu compte qu’il était interpréter par le navigateur.
Faille de type XSS ?
Effectivement!

Sauf que celle-ci n’est pas bénigne, en plus de pouvoir faire planter le navigateur de n’importe quel utilisateur du service, elle permet d’accéder à toutes les fonctionnalités implémantées par MessengerFX ce qui signifie entre autre:

- Récupérer la liste de contact de l’utilisateur
- Envoyer des messages en son nom
- Supprimer, bloquer et débloquer des personnes de sa liste de contact et lui en ajouter
- Lire les messages
Soit de prendre le contrôle complet du compte MSN de la victime.

Pire, il est tout à fait possible d’écrire un vers en utilisant les fonctions d’envoi de message.
Ce vers pourrait par exemple supprimer tous les contacts de toutes les personnes connectées à MessengerFX…, voir faire tomber le réseau MSN dans son ensemble par une attaque de type DDOS.

Lapin-Blanc a envoyer un mail au propriétaire du service qui reste à ce jour sans réponse.
En attendant une correction, abstenez-vous d’utiliser MessengerFX et préférez-y Meebo ou le client officiel de microsoft version web!

(source:lapin-blanc.net)

secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)

Commentaires (1)
« Retour