S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 26 février 2004
N° CERTA-2004-AVI-048
Affaire suivie par: CERT-FR
le 26 février 2004

Avis du CERT-FR

Objet: Vulnérabilités sur Trillian

Gestion du document

Référence CERTA-2004-AVI-048
Titre Vulnérabilités sur Trillian
Date de la première version 26 février 2004
Date de la dernière version 26 février 2004
Source(s) Avis de sécurité Ematters O22004
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service ;
  • exécution de code arbitraire ;

Systèmes affectés

  • Trillian 0.x ;
  • Trillian Pro 1.x ;
  • Trillian Pro 2.x ;
  • Trillian 0.71 à 0.74F.

Résumé

Deux vulnérabilités ont été découvertes sur le logiciel de messagerie instantanée qui permettent à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire, via un paquet malicieusement construit, sur le système vulnérable.

Description

Trillian est un logiciel de messagerie instantanée assez répandu sous Windows.

La première vulnérabilité est présente dans la gestion du protocole AIM/Oscar : un débordement de mémoire présent dans l'allocation de la mémoire pour les paquets DirectIM permet à un utilisateur mal intentionné de réaliser un déni de service ou l'exécution d'un code arbitraire sur le système vulnérable.

La seconde vulnérabilité est présente dans l'analyse d'un paquet YMSG : un nom de clef malicieusement construit peut entraîner l'exécution de code arbirtaire. L'exploitation de cette vulnérabilité nécessite la possibilité de conduire une attaque de type « homme du milieu ».

Solution

Mettre à jour ou réinstaller la version 0.74G de Trillian ou la version 2.011 de Trillian Pro (cf section documentation).

Documentation

Gestion détaillée du document

    le 26 février 2004
    version initiale.