La version française suit
THE OFFICE OF CRITICAL INFRASTRUCTURE PROTECTION AND EMERGENCY PREPAREDNESS ***************** ADVISORY ***************** Number: AV02-029 Date: 5 June 2002 ************************************************** Multiple Vulnerabilities - Yahoo! Messenger ************************************************** PURPOSE The CERT/CC is reporting multiple vulnerabilities in Yahoo! Messenger version 5,0,0,164 and prior for Microsoft Windows. ASSESSMENT There are multiple vulnerabilities in Yahoo! Messenger that may allow an attacker to execute arbitrary code with the privileges of the user on the victim system. OCIPEP has not received any reports of this vulnerability being exploited in Canadian systems. OCIPEP will continue monitoring all available sources of information about this vulnerability and will provide updated information should the potential for impact increase. SUGGESTED ACTION Users should upgrade to version Yahoo! Messenger 5,0,0,1065 or later. Please refer to the following link for additional information: http://www.cert.org/advisories/CA-2002-16.html CONTACT US For urgent matters or to report any incidents, please contact OCIPEP's Emergency Operations Centre at: Phone: (613) 991-7000 Fax: (613) 996-0995 Secure Fax: (613) 991-7094 Email: [EMAIL PROTECTED] For general information, please contact OCIPEP's Communications Division at: Phone: (613) 991-7035 or 1-800-830-3118 Fax: (613) 998-9589 Email: [EMAIL PROTECTED] Web Site: www.ocipep-bpiepc.gc.ca NOTICE TO READERS When the situation warrants, OCIPEP issues Advisories to communicate information about potential, imminent or actual threats, vulnerabilities or incidents assessed by OCIPEP as limited in scope but having possible impact on the Government of Canada or other sectors of Canada's critical infrastructure. Recipients are encouraged to consider the real or possible impact on their organisation of the information presented in the Advisory, and to take appropriate action. OCIPEP publications are based on information obtained from a variety of sources. The organisation makes every reasonable effort to ensure the accuracy, reliability, completeness and validity of the contents in its publications. However, it cannot guarantee the veracity of the information nor can it assume responsibility or liability for any consequences related to that information. It is recommended that OCIPEP publications be carefully considered within a proper context and in conjunction with information available from other sources, as appropriate. Unauthorized use of computer systems and mischief in relation to data are serious Criminal Code offences in Canada. Upon conviction of an indictable offence, an individual is liable to imprisonment for a term not to exceed ten years. All offences should be reported immediately to your local police service. ================================================== LE BUREAU DE LA PROTECTION DES INFRASTRUCTURES ESSENTIELLES ET DE LA PROTECTION CIVILE ************************ AVIS DE SÉCURITÉ ************************ Numéro: AV02-029 Date: 5 juin 2002 ****************************************************** Vulnérabilités multiples du Yahoo! Messenger ****************************************************** BUT Le CERT/CC signale de multiples vulnérabilités de la version 5,0,0,1064 et antérieures du Yahoo! Messenger, de Microsoft Windows. ÉVALUATION Il existe des vulnérabilités multiples du Yahoo! Messenger pouvant permettre à un intrus d'exécuter des codes arbitraires en utilisant les privilèges de l'utilisateur du système victime. Le BPIEPC n'a reçu aucune indication à l'effet que cette vulnératilité avait touché les systèmes canadiens. Le BPIEPC continuera à assurer la surveillance de toutes les sources d'information accessibles relativement à cette vulnérabilité et transmettra toute nouvelle information s'il y a augmentation des possibilités d'une incidence. MESURE PROPOSÉE Les utilisateurs devraient se procurer la version 5,0,0,1065 ou ultérieure de Yahoo! Messenger. Pour de plus amples renseignements, veuillez consulter le lien suivant : http://www.cert.org/advisories/CA-2002-16.html COMMENT COMMUNIQUER AVER NOUS En cas de questions urgentes, ou pour signaler des incidents, veuillez communiquer avec le Centre des opérations d'urgence du BPIEPC au: Téléphone : (613) 991-7000 Télécopieur : (613) 996-0995 Télécopieur sécuritaire : (613) 991-7094 Courriel : [EMAIL PROTECTED] Pour obtenir des renseignements généraux, veuillez communiquer avec la Division des communications du BPIEPC au: Téléphone : (613) 991-7035 ou 1-800-830-3118 Télécopieur : (613) 998-9589 Courriel : [EMAIL PROTECTED] Site Web : www.bpiepc-ocipep.gc.ca AVIS AUX LECTEURS Les avis de sécurité servent à communiquer des renseignements au sujet de menaces potentielles, imminentes ou réelles, de vulnérabilités ou d'incidents évalués par le BPIEPC, de portée limitée, mais ayant des effets possibles sur le gouvernement du Canada ou d'autres secteurs des infrastructures essentielles du Canada. Les avis de sécurité peuvent contenir des renseignements et des analyses non disponibles dans le domaine public. Les destinataires sont invités à envisager les effets réels ou possibles sur leur organisation des renseignements présentés dans les avis de sécurité et à prendre des mesures appropriées. Le contenu des publications du BPIEPC s'inspire de l'information reçue de diverses sources et notre organisation déploie tous les efforts raisonnables pour assurer la précision, la fiabilité, l'intégralité et la validité du contenu de ses publications. Elle ne peut cependant pas certifier la véracité de l'information ou assumer la responsabilité des conséquences qui découlent de cette information. Il est recommandé de juger soigneusement les publications du BPIEPC dans leur contexte pertinent et conjointement avec l'information disponible dans d'autres sources, le cas échéant. L'utilisation non autorisé des systèmes informatiques et les dommages relatifs aux données constituent une faute grave au Code criminel canadien. Si une personne est trouvée coupable d'une telle faute, elle est passible d' emprisonnement pour une période n'exédant pas dix ans. Toutes fautes devraient être signalées immédiatement à votre service de police locale. IWS INFOCON Mailing List @ IWS - The Information Warfare Site http://www.iwar.org.uk
