AOL Instant Messenger bevatte beveiligingslek

Op C|Net lezen we dat eerder deze week een groot beveiligingslek aan het licht is gekomen in Aol Instant Messenger. Dit lek kan ervoor zorgen dat een hacker vrije toegang krijgt tot de computer van de AIM gebruiker. Het was mogelijk via een onzichtbare oproep tot een spel een enorme hoeveelheid data naar het geheugen van de AIM gebruiker te sturen. Dit zorgde dan voor een buffer overflow. Via deze weg kon dan de controle over de pc worden verkregen. Beveiligingsgroep wOOwOO, die het lek ontdekte, zegt dat via deze weg gemakkelijk een virus in omloop zou kunnen worden gebracht dat in destructiviteit niet onder zou doen voor Code Red en Nimda.

AOL heeft inmiddels server-side aanpassingen doorgevoerd om het lek te dichten, gebruikers hoeven dan ook geen patch te downloaden. AOL was niet bereikbaar voor commentaar:

"This could be used by someone to execute programs on a vulnerable system," said Elias Levy, chief technology officer of SecurityFocus. "A worst-case scenario could be a worm that used this vulnerability as an infection vector, and given the large population of users, the potential for damage is great. A lot of corporations allow their users to use instant messaging, so this vulnerability could be used to pierce corporate firewalls."

AIM is one of the Web's most popular applications, with more than 100 million registrations (one person can register any number of different AIM personas). A much smaller subset of that group is running version 4.7 and the 4.8 beta, but Conover used the 100 million figure to chastise AOL Time Warner for letting the buffer overflow hole slip through its quality-control process.

Verwijderd stuurde ons de tip.