В aim обнаружена свежая критическая уязвимость
Через день после того, как AOL устранила уязвимость в AOL Instant Messenger (AIM) к удаленному внедрению JavaScript, исследователь Авив Рафф (Aviv Raff) нашел способ обхода патча.
AOL подтвердила открытие г-на Раффа. Он проверил концептуальный эксплоит на последней бета-версии 6.5, и эксплоит не сработал. Однако, изменив код, исследователь воспроизвел ту же самую уязвимость. В патче было добавлено фильтрование только отдельных html-тэгов и атрибутов, но основная причина уязвимости не была исправлена, пишет Eweek.com.
Уязвимость вызвана отсутствием фильтрации html-тэгов, поступающих в окно оповещения. Таким образом, злоумышленник может выполнить произвольный JavaScript код на компьютере жертвы, отправив специально сформированное сообщение.
AOL подтвердила открытие г-на Раффа. Он проверил концептуальный эксплоит на последней бета-версии 6.5, и эксплоит не сработал. Однако, изменив код, исследователь воспроизвел ту же самую уязвимость. В патче было добавлено фильтрование только отдельных html-тэгов и атрибутов, но основная причина уязвимости не была исправлена, пишет Eweek.com.
Уязвимость вызвана отсутствием фильтрации html-тэгов, поступающих в окно оповещения. Таким образом, злоумышленник может выполнить произвольный JavaScript код на компьютере жертвы, отправив специально сформированное сообщение.
Ещё новости по теме:
18:20