Aim 6.5 не смог устранить критическую уязвимость
Несмотря на заверения AOL об устранении критической уязвимости в AIM 6.5, возможность ее эксплуатации все еще существует, сообщает специалист Авив Рафф (Aviv Raff). В сентябре AOL была уведомлена об обнаружении ошибки в способе обработки HTML-сообщений через Internet Explorer. С ее помощью нападавший мог посылать специальное сообщение, посредством которого запускать удаленно произвольный код на исполнение или направлять пользователя на зараженную веб-страницу. Предполагалось, что уязвимость будет устранена в AIM 6.5, появившемся 3 октября, но проверка Авива Раффа выявила, что это не так.
По его словам, AOL действительно провела работы по устранению некоторых путей эксплуатации ошибки, но произведенные доработки не смогли полностью исключить возможность атаки. Ранее Рафф планировал опубликовать пример кода эксплуатации уязвимости, но теперь отказался от этой идеи, так как опасается использования раскрытого кода для осуществления атак. Пользователям AIM не следует чрезмерно опасаться существующей уязвимости, так как пока AOL не зарегистрировала случаев ее использования.
По его словам, AOL действительно провела работы по устранению некоторых путей эксплуатации ошибки, но произведенные доработки не смогли полностью исключить возможность атаки. Ранее Рафф планировал опубликовать пример кода эксплуатации уязвимости, но теперь отказался от этой идеи, так как опасается использования раскрытого кода для осуществления атак. Пользователям AIM не следует чрезмерно опасаться существующей уязвимости, так как пока AOL не зарегистрировала случаев ее использования.
Ещё новости по теме:
18:20