L'éditeur de solutions de sécurité BitDefender explique via l'un de ses blogs avoir repéré une faille au sein du client Yahoo! Messenger en version 11.x pour les utilisateurs de Windows. Le problème serait localisé au sein du système de transfert de fichiers. Le hacker, qui n'a pas besoin d'avoir été préalablement ajouté à la liste des contacts de la victime, serait en mesure de manipuler le message s'affichant sur l'écran de celle-ci l'invitant à accepter ou refuser le transfert d'un fichier.
Dès le chargement de ce message, il est possible de modifier le status de l'internaute en y insérant un lien vers un site frauduleux. « Les messages de status sont très efficaces en terme de taux de clics puisqu'ils s'adressent à un nombre limité d'amis », explique BitDefender en ajoutant qu'il est très facilement possible de pointer les contacts vers une page exploitant une faille d'Internet Explorer, Java, Flash ou PDF.
L'éditeur conseille de bloquer la réception des messages ne provenant pas de ses contacts, une option désactivée par défaut. La firme de Sunnyvale aurait été informée de cette vulnérabilité et plancherait sur un correctif.
