« Selon une source indépendante à la société, cette opération a été motivée par la découverte d'une complication possible sur l'édition précédente, qui aurait pu mener un utilisateur à se faire confisquer son compte par un autre (ZDNet). » Yahoo! ne vérifierait pas correctement les noms longs des fichiers attachés aux messages. Il serait alors possible de provoquer un dépassement de mémoire tampon (buffer overflow). Un code malicieux pourrait alors être exécuté et mettre en danger les données personnelles du titulaire du compte.

Yahoo! ne communique pas sur cette faille. La page « Messenger Security » qui cite la vulnérabilité précédente ne mentionne rien de nouveau. Yahoo! n'a pas averti ses utilisateurs de la nécessité d'installer une nouvelle version de Yahoo! Messenger. Mais attention, la version française propose toujours un millésime déclaré vulnérable (5.6.0.1344). La version anglaise est la 5.6.0.1356 (ZDNet et Secunia parlent de la 5.6.0.1358). Il est conseillé de désinstaller l'ancienne version avant d'installer la nouvelle.

ZDNet, Yahoo Messenger mis à jour discrètement pour une faille de sécurité, 9 janv. 2004, Jerome Thorel