Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



Un virus XSS s’attaque aux utilisateurs de Yahoo Mail

Par Ludovic Blin, secuobs.com
Le 25/06/2006


Résumé : Un virus sans danger a fait son apparition parmi les utilisateurs du webmail de Yahoo. Sa seule fonction est de se répliquer en s’envoyant à tous les correspondants inclus dans le carnet d’adresses.



Un virus sans danger a fait son apparition parmi les utilisateurs du webmail de Yahoo. Sa seule fonction est de se répliquer en s’envoyant à tous les correspondants inclus dans le carnet d’adresses.

Les messageries électroniques gratuites accessibles par le web, telles Yahoo, Gmail ou Hotmail, sont souvent l’objet de problèmes de sécurité, dont les conséquences peuvent aller de la compromission de comptes à l'exécution de scripts sur le navigateur d’un utilisateur.

Ce type de service est également de plus en plus la cible de codes reproductifs se répliquant d’utilisateurs en utilisateurs. On se rappellera par exemple du virus pour le site MySpace, qui avait permis à son auteur d’atteindre le grade de super-héros (popularité/nombre d’amis maximum selon l’échelle du site).

Un code reproductif de ce type s’est récemment répandu au sein des utilisateurs du service de messagerie gratuite de Yahoo. Il a été dénommé Yamanner par les éditeurs de logiciels anti-virus. La vulnérabilité utilisée tire parti d’un tag javascript « onload » placé sur une image hébergée par Yahoo pour s’envoyer à tous les contacts du carnet d’adresses.

Plus précisément, la méthode ActiveX XMLHTTP (chère aux applications AJAX) est utilisée pour piloter l’envoi automatique des messages. Les emails envoyés ont pour sujet « New graphic site » et la phrase « this is test » se trouve dans le corps du message. Les répertoires sont également envoyés à l’auteur du virus (via le site av3.net).

Suite à la découverte de ce bug, une technique permettant la récupération des cookies des destinataires des messages aurait également été développée. Grâce à ces informations, il est ensuite possible de se connecter sur le compte de la cible.

Précisons que cette faille s’active uniquement à la lecture du message, par l’intermédiaire d’un fichier attaché au format HTML, qui est exécuté automatiquement.

Les services techniques de Yahoo ont rapidement réagi en bloquant tout d’abord la circulation de ces messages grâce a une détection de signature, puis en corrigeant la faille proprement dite. Certaines failles du même type pourraient tout de même être toujours utilisables.

Fait amusant, l’éditeur d’antivirus McAfee a publié sur son blog ( lien ) un message émanant de l’auteur du virus (bien que ce soit impossible à vérifier) et demandant un emploi au sein de l’industrie des antivirus. Mc Afee a décliné cette offre.