Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

El AOL Instant Messenger nos deja vulnerables a un ataque
 
VSantivirus No. 160 - Año 4 - Viernes 15 de diciembre de 2000

AOL Instant Messenger (AIM), es el programa de mensajería instantánea que viene incorporado a las últimas versiones del Netscape. AIM es la competencia directa de programas como el ICQ y el Messenger del Internet Explorer.

Recientemente se han detectado múltiples vulnerabilidades que permitirían la ejecución de código arbitrario en nuestra PC, según informó la empresa de seguridad @stake Inc. (www.atstake.com ).

Las versiones vulnerables son todas las anteriores a la 4.3.2229.

Un atacante remoto podría tomar el control de nuestra PC a través de Internet. Y lo peor, es que no es necesario ejecutar el AIM para ser vulnerable, ya que es suficiente con tenerlo instalado para estar en peligro.

Basta recibir un mensaje con formato HTML incluyendo ciertos códigos, o visitar sitios Web maliciosos, para habilitar la ejecución de código arbitrario en nuestra computadora.

Esto pone en grave riesgo a todos los usuarios del Netscape que instalan el AIM. Como esta vulnerabilidad es el resultado de la conexión de un cliente aprobado por la mayoría de los cortafuegos o firewalls personales instalados, pocos detectarán esta acción.

El problema proviene del hecho que cuando se instala el AIM, se registra el protocolo URL "aim:" como un "hook" (gancho) al ejecutable del programa.

Esto permite a los usuarios publicar su lista de nombres en páginas Web y de una manera rápida y fácil, tenerlos disponibles para su uso inmediato (en el "AIM Chat" por ejemplo), con un simple clic en el respectivo link.

Para lograr esto, cada dirección (URL) "aim://" es pasada directamente al programa como si formara parte de una línea de comando.

De ese modo, los usuarios de AIM pueden teclear cosas como "aim:goim?Screenname=juan&Message=hola juan" dentro de la línea de comandos de sus navegadores, y el comando será pasado al AIM, la ventana del Instant Messenger se abrirá, y mostrará en este caso el texto: "hola juan".

Pero según @stake, este software posee numerosas vulnerabilidades que permiten obtener el control del programa por medio de un desbordamiento de búfer.

AOL tiene disponible una solución desde el 6 de diciembre, pero no ha hecho una gran divulgación de este hecho ni ha incitado a sus usuarios para bajarlo e instalarlo lo antes posible.

Tampoco existe en el sitio una mención a la razón de la nueva versión, ni un texto con las cosas que corrige, o alguna otra referencia a esta vulnerabilidad.

@stake sugiere que aquellos que no puedan bajar esta actualización, o que no utilicen el AIM, pero usen el Netscape, desinstalen el Instant Messenger, a través del Panel de control, Agregar o quitar programas de Windows.

Aunque también podrían ser cambiadas las claves del registro creadas por el programa para su funcionamiento, estas claves son creadas nuevamente cada vez que el AIM es ejecutado. Por lo tanto, las mismas se muestran aquí solo como carácter informativo:

HKEY_CLASSES_ROOT\aim\shell\open\command 
HKEY_CLASSES_ROOT\aimfile\shell\open\command 
HKEY_CLASSES_ROOT\AIM.Protocol\CLSID 
HKEY_CLASSES_ROOT\AIM.Protocol.1\CLSID.

En aquellos entornos o aplicaciones proxies que permitan el filtrado, se aconseja hacerlo con las URLS "aim:".

La nueva versión del AIM está disponible en esta dirección: http://www.aol.com/aim/home.html

Referencias:
http://www.atstake.com/research/advisories/2000/a121200-1.txt

 

Copyright 1996-2000 Video Soft BBS