:

Szerző: Ady Krisztián

2002. május 7. 16:12

Az AOL még mindig nem foltozta be az AOL Instant Messenger biztonsági rését

[ZDNet] Az AOL Time Warner még mindig nem javította ki az AOL Instant Messenger nevű azonnali üzenetküldő szolgáltatást nyújtó alkalmazásban talált biztonsági rést, s ezzel potenciális veszélynek teszi ki a programot használó internetezőket -- közölte egy biztonsági megoldásokkal foglalkozó kutatócég a hét végén.

[ZDNet] Az AOL Time Warner még mindig nem javította ki az AOL Instant Messenger nevű azonnali üzenetküldő szolgáltatást nyújtó alkalmazásban talált biztonsági rést, s ezzel potenciális veszélynek teszi ki a programot használó internetezőket -- közölte egy biztonsági megoldásokkal foglalkozó kutatócég a hét végén.

A bug jelenlegi formájában legalább annyira veszélyes, mint az előző, januárban felfedezett rés. A hibát kihasználva az AIM programot futtató számítógépeken a felhasználó tudta nélkül indíthatnak el különböző programokat, állítja Matt Conover, a "w00w00" internetes biztonsággal foglalkozó kutatócég hackere.

A januárban felfedezett bug az "add game" parancsot érintette, most pedig a megfelelő formátumban küldött "add external application" parancs teszi sebezhetővé a gépet az ismert "buffer overflow" hibajelenségre alapozva. A w00w00 tájékozatása után az AOL Time Warner elméletileg kijavította ezt a hibát is szerver oldali filterek használatával, ez azonban a biztonsági cég szerint nem elegendő.

Az alkalmazásban lévő hibát továbbra sem javították ki, ezért az alkalmazás egyes vélemények szerint ugyanúgy sebezhető, mint a filterezés, szűrés előtt.

"Határozott véleményem, hogy nem tettek meg mindent az IM kliens biztonságossága érdekében" -- tette hozzá Conover. "A szűrés lehet, hogy elegendő speciálisan ennek a hibának a kivédésére, de ha itt megállnak, túlságosan lusták [a fejlesztők]."

Mivel az AOL Time Warner a hiba csak egy speciális változatát "fixálta" a hálózati funkciók felülvizsgálata helyett, továbbra is fennáll a veszélye, hogy támadások intézhetők az IM kliens ellen.

Derítsd ki, hol tartasz a felhőérettségben a Devertix Cloud Readiness felmérésével, mellyel átfogó képet kaphatsz vállalatod felkészültségéről. Töltsd ki 3 perces, ingyenes felmérőnket!

a címlapról

Hirdetés

Ollé, lesz SYSADMINDAY!

2025. július 1. 22:58

Duna melletti szabadtéri helyszínen, a Budapest Gardenben idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, kvízek, szakmázás, barátok, még több sörcsap.