Yahoobleed : une faille 0-day a causé la fuite de données des utilisateurs
Les ingénieurs de Yahoo ont retiré la bibliothèque ImageMagick

Le , par Coriolan

78PARTAGES

9  0 
Les vulnérabilités permettant la fuite de données sont devenues communes ces dernières années, après Heartbleed et Cloudbleed, c’est autour de Yahoobleed de faire la une de la presse spécialisée. Comme vous l’aurez deviné, elle concerne Yahoo, plus précisément son service Yahoo Mail. Pendant des années, le service de messagerie a exposé les données privées des utilisateurs au risque de fuite en raison de la non-mise à niveau d’un logiciel de traitement d’images contenant des vulnérabilités critiques.

En raison de cette vulnérabilité, les données enregistrées dans la mémoire du serveur pouvaient être récupérées par un attaquant, selon le chercheur de sécurité qui a découvert la vulnérabilité. Dans un billet de blog, Chris Evans a informé que la vulnérabilité « Yahoobleed #1 » (YB1) permet à un attaquant de mettre la main sur les pièces jointes (images) dans les serveurs de Yahoo.

Yahoobleed s’appuie sur une vulnérabilité dans ImageMagick, qui est un logiciel libre, comprenant une bibliothèque, ainsi qu'un ensemble d'utilitaires en ligne de commande, permettant de créer, de convertir, de modifier et d'afficher des images dans un très grand nombre de formats. La plupart des fonctionnalités d'ImageMagick peuvent être utilisées en ligne de commande, mais souvent, toutefois, ImageMagick est combiné avec d'autres programmes écrits dans des langages comme Perl, C, C++, Python, Ruby, PHP, OCaml ou Java.

La vulnérabilité découverte par Evans peut être exploitée en envoyant un fichier image à une adresse email Yahoo. Après l’ouverture fichier de 18 bytes, des données commencent à fuir de la mémoire du serveur de Yahoo. Cette première vulnérabilité, Evans l’a appelée « Yahoobleed1 ». « Yahoobleed2 » s’est appuyée sur un outil de piratage appelé « Strings » pour exploiter une faille corrigée en janvier 2015.

La vulnérabilité se trouve dans le fameux format d’image RLE (appelé aussi codage par plages). Un attaquant peut tout simplement créer une image RLE manipulée, l’envoyer et créer une boucle de commandes vides du protocole qui actionnent la fuite de données. Yahoo n’a implémenté aucune liste blanche pour les décodeurs d’ImageMagick qui ont permis à ces fichiers malicieux de s'infiltrer à travers le net.

Ces bogues ont permis aux attaquants d’obtenir les cookies du navigateur, les jetons d’authentification et les fichiers joints d’images appartenant aux utilisateurs de Yahoo Mail. Yahoo a délaissé la faille sans correctif pendant 28 mois, toutefois, Evans a fait l’éloge des ingénieurs de l’entreprise qui ont vite réagi à son rapport.

Au lieu d’appliquer un correctif à ImageMagick, Yahoo a choisi de suspendre son utilisation de la bibliothèque, une mesure appréciée par le chercheur de sécurité. Il a néanmoins lancé une alerte sur le danger imminent qui persiste du fait que cette bibliothèque reste encore largement utilisée par d’autres services du web et qui sont probablement vulnérables aussi.

Après avoir montré à Yahoo l’existence de la vulnérabilité, Evans a reçu une prime de 14 000 dollars de la firme, une somme qui a été multipliée par deux quand le chercheur a informé la société de son attention la donner à une charité.

Ce n’est pas la première fois que Yahoo fait face à des risques de fuite de données, en septembre dernier, Yahoo a affirmé avoir été victime d’un piratage parrainé par un État et dans lequel plus de 500 millions de comptes d’utilisateurs avaient été affectés. La découverte de cette violation de sécurité fait suite à des investigations menées par la société après qu’une supposée base de données de ses utilisateurs a été mise en vente sur le dark web.

Source : scarybeastsecurity

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Piratage d'un milliard de comptes Yahoo : les données auraient déjà été vendues sur le dark web, trois acheteurs auraient versé chacun 300 000 $

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de joublie
Membre confirmé https://www.developpez.com
Le 23/05/2017 à 11:48
Exemples :
Après l’ouverture fichier de 18 bytes [ouverture d'un fichier]
Yahoo a délaissé la faille sans correctif [a laissé la faille sans correctif]
Yahoo a choisi de suspendre son utilisation de la bibliothèque [suspendre l'utilisation de la bibliothèque]
a informé la société de son attention la donner à une charité [son intention de la donner à une oeuvre de charité]
en septembre dernier, Yahoo a affirmé avoir été victime d’un piratage [sans la virgule c'est encore mieux]

 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web