Grossa falla in AIM. Molti utenti a rischio

Grossa falla in AIM. Molti utenti a rischio

Nelle più recenti versioni del celebre spara-messaggini si cela una vulnerabilità legata al modo in cui AIM interagisce con IE. In attesa della patch, gli esperti raccomandano di usare un client alternativo
Nelle più recenti versioni del celebre spara-messaggini si cela una vulnerabilità legata al modo in cui AIM interagisce con IE. In attesa della patch, gli esperti raccomandano di usare un client alternativo

Boston (USA) – Qualcuno lo ha già descritto come uno dei più gravi problemi di sicurezza che abbiano colpito AIM negli ultimi anni. Si tratta di un debolezza scoperta da Core Security nell’interazione tra il famoso client di instant messaging di AOL e Internet Explorer, browser il cui motore di rendering viene utilizzato da AIM per visualizzare i messaggi HTML.

In questo advisory i ricercatori di Core Labs spiegano che AIM si avvale della libreria mshtml.dll di IE per il rendering degli elementi HTML dei messaggi, come formattazioni e colori personalizzati. Il problema sta nel fatto che il client non filtra i contenuti pericolosi , esponendo il fianco ad attacchi basati su JavaScript.

Core Labs afferma che un malintenzionato potrebbe sfruttare la falla per eseguire comandi a distanza , iniettare codice JavaScript in IE, eseguire controlli ActiveX, lanciare attacchi di tipo cross-site scripting, manipolare token e cookie e sfruttare eventuali bug di IE , il tutto senza alcuna interazione da parte dell’utente.

“Questa vulnerabilità rappresenta un importante rischio per la sicurezza di milioni di utenti di AIM”, ha affermato Iván Arce, CTO di Core Security. “Core Security ha avvisato AOL di questa minaccia e le ha fornito tutti i dettagli tecnici necessari per risolvere il problema”.

La vulnerabilità interessa AIM 6.1 , incluse le versioni Pro e Lite, e la beta di AIM 6.2 , mentre sembra risparmiare la versione 5.9. Sebbene Core Security riporti che AIM 6.5 beta non sia vulnerabile, l’esperto di sicurezza Aviv Raff ha scritto un exploit capace di funzionare, con poche modifiche, anche con questa release del programma. Confermando quanto scoperto da Raff, AOL ha fatto sapere che la prima versione corretta di AIM verrà rilasciata a metà ottobre .

Fino alla disponibilità della patch gli esperti di sicurezza raccomandano agli utenti di utilizzare la versione web-based di AIM, la Express , oppure una delle molte alternative gratuite come Trillian Basic , Miranda IM o Pidgin (si veda anche la sezione Chat, IM e VoIP di PI Download ).

Lo scorso anno gli utenti di AIM erano stimati intorno ai 53 milioni in tutto il mondo.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
27 set 2007
Link copiato negli appunti