|
Agujeros críticos en AIM siguen abiertos
|
|
VSantivirus No 2598 Año 11, jueves 27 de diciembre de 2007
Agujeros críticos en AIM siguen abiertos
http://www.vsantivirus.com/27-12-07.htm
Por Angela Ruiz
angela@videosoft.net.uy
Un exploit que afecta a usuarios de AOL Instant Messenger (AIM), parece estar aún activo, a pesar de que la compañía publicó hace un tiempo una solución para el mismo.
El agujero de seguridad estaba abierto desde setiembre pasado, y permitía tomar el control completo de cualquier PC que ejecute la última versión de AIM.
Michael Evanchik, un programador de 31 años, fue quien reportó el problema. "Podría haber tomado el control de 60,000 computadoras en solo dos días, pero no es mi intención. Sin embargo, cualquier atacante podría hacer eso muy fácilmente", dijo Evanchik. "Es un agujero bastante grande, y no hay que pulsar nada para que actúe el exploit."
En su intento de competir con sitios como Facebook y MySpace, que utilizan sus propios sistemas de mensajería instantánea, AOL ha agregado a su programa características adicionales que hacen que sea más fácil para los piratas informáticos atacar dicho software.
En octubre, la compañía publicó AIM 6.5 que corregía parcialmente una vulnerabilidad crítica relacionada con la manera que el programa maneja el código HTML. Pero expertos de seguridad criticaron a AOL por apresurarse en liberar una solución a medias, que solo confía en el filtrado a nivel del servidor para prevenir que código malicioso pueda transportarse por la red de AOL.
Recientemente, se ha confirmado que los expertos tenían razón, y que AIM 6.5 sigue siendo vulnerable a la misma debilidad fundamental, la cuál permite a usuarios malintencionados, crear un gusano que infecte a miles de usuarios en cuestión de horas.
Existen actualmente exploits que pueden eludir este filtrado, poniendo en riesgo a cientos de miles de usuarios que utilizan AIM 6.5.
Según Evanchik, basta una sola línea de código en JavaScript para llevar a cabo el ataque. Aunque él dice que no lo ha utilizado en su provecho, el origen del mismo es curioso. Evanchik desarrolló el ataque después que un usuario anónimo de MySpace comenzó a acosar a su hermana. Su idea era crear un keylogger en la máquina del acosador para utilizar las pruebas obtenidas.
El código puede descargar y ejecutar un archivo desde Internet. Luego hace que AIM intente visualizar una imagen inexistente desde la web. Debido a que el enlace no funciona, AIM 6.5 muestra un error que lleva al usuario a aceptar el mensaje, entregando de ese modo su computadora al atacante.
Hasta el momento, no existe una solución definitiva al problema, salvo no utilizar AIM.
Relacionados:
America Online AOL Instant Messenger AIM6.0 or 6.5 or higher XSS remote execution
http://securityvulns.com/Sdocument718.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|