Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

   

AOL Instant Messenger permite ejecución de código
 
VSantivirus No. 1496 Año 8, martes 10 de agosto de 2004

AOL Instant Messenger permite ejecución de código
http://www.vsantivirus.com/vul-aim-away.htm

Por Angela Ruiz
angela@videosoft.net.uy


AOL Instant Messenger (AIM), permite el uso de Mensajes de Disponibilidad, "Away Messages", para que un usuario configure su correo de modo que responda automáticamente a mensajes recibidos mientras se encuentre de vacaciones o no tenga acceso a su correo electrónico.

Según publica Secunia, se ha reportado una vulnerabilidad que provoca un desbordamiento de búfer al utilizarse esta facilidad, en la versión 5.x de este programa. El fallo puede ser utilizado por usuarios malintencionados para comprometer el sistema del usuario que ejecute la versión vulnerable del AIM.

El fallo es provocado por un error de límites en el manejo de los "Away messages", cuando estos superan los 1,024 bytes de longitud. Esto puede ser explotado por un atacante a través de un manejador "aim:" con un argumento excesivamente largo en un parámetro "goaway?message".

De ese modo, el atacante podría provocar un desbordamiento de stack (stack overflow), con la posibilidad de ejecutar código malicioso en forma aleatoria. La pila (stack), es el espacio de memoria reservada para almacenar las direcciones de retorno en la ejecución de cada rutina y otra información importante para la ejecución de los programas.

El ataque podría ser realizado cuando el usuario visita determinados sitios, con páginas especialmente creadas para provocarlo, si se tiene el AIM instalado.

La vulnerabilidad ha sido confirmada en la versión 5.5.3595 de AOL Instant Messenger pero otras versiones también podrían estar afectadas.

Otros fallos reportados, también podrían provocar el consumo de grandes cantidades de recursos del sistema, con el consiguiente mal funcionamiento del mismo.

No hay respuesta del vendedor del producto al momento actual.


Créditos:

Ryan McGeehan y Kevin Benes, TheBillyGoatCurse.com


Relacionados:

AOL Instant Messenger "Away" Message Buffer Overflow Vulnerability
http://secunia.com/advisories/12198/




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS