Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 18 reacties
Bron: ZDNet

ZDNet schrijft dat er weer een beveiligingslek is ontdekt in AOL Instant Messenger. Hoewel AOL in januari al een aanpassing aan haar servers moest maken, lijkt het bedrijf niet van fouten in het verleden te hebben geleerd. Het waren wederom leden van de beveiligingonderzoeksgroep 'w00w00', die op een probleem met de instant messenger stuitten, dat vergelijkbaar is met het eerdere euvel. Ging het toen om een overvloed van spelletjesaanvragen aan andere gebruikers, dit keer is het een storm van aanvragen voor het installeren van externe software, die tot een buffer-overflow kan leiden. Wederom heeft AOL Time Warner de fout inmiddels hersteld door een filter aan te brengen op haar servers. Niettemin noemt een lid van w00w00 het optreden van de mediagigant twijfelachtig, en zegt dat het verre van zeker is dat de software nu veilig genoemd mag worden:

AOL logo Though Conover said AOL responded quickly to the flaw this time, the group still had to use private contacts formed during the last security incident; AOL Time Warner still does not publish a central security contact for its software. "There is still no way to publicly contact them, which means that they haven't learned anything from the last incident," he said.

Moreover, while AOL Time Warner's fix prevents the current hole from being used to attack another user or to spread worms or viruses through instant message chats, Conover worries that an online vandal may find another method that could also elude AOL's fix. "I definitely don't think they did enough to secure the IM client," he said. "They responded quickly to this instance of the flaw, but if they stop there, I think they are being lazy."
Moderatie-faq Wijzig weergave

Reacties (18)

AOL Time Warner still does not publish a central security contact for its software. "There is still no way to publicly contact them, which means that they haven't learned anything from the last incident," he said.

Dat is zo dom!

Het niet duidelijk aangeven waar je je fouten heen moet sturen veroorzaakt dat mensen het dan maar publiek maken.

Normalieter meld je een fout eerst bij een bedrijf aan. En na 14 dagen publiceer je deze dan op bugtraq of een ander media. Door het niet duidelijk aangeven waar je fouten kan melden kan het dus voorkomen dat mensen het dan gelijk publiek maken. En dan zijn de rapen gaar. Dan heb je een 0-day exploit voor iedereen die m maar wil gebruiken.
Normaliter? Er is geen normaliter... Iedereen heeft z'n eigen opvattingen over wie het eerst moet weten, en persoonlijk weet ik het het liefst als de fabrikant het ook weet. Fijn dat w00w00 het heeft gevonden, dat neemt niet weg dat andere crackers het niet ook gevonden hebben, en ik heb geen zin om 14 dagen vulnerable te zijn.

Kortom, ik vind het een waardeloze policy om eerst de fabrikant in te lichten en dan 14 dagen later de consument pas eens een keertje.

Anyways, voor mensen die die policy voeren die jij voert is er aangegeven dat er dus zo'n emailadres moet bestaan. Als dat niet bestaat.... tja, weinig krediet waardigheid dat je als bedrijf die policy dan ook wilt volgen.
Wederom heeft AOL Time Warner de fout inmiddels hersteld door een filter aan te brengen op haar servers. Niettemin noemt een lid van w00w00 het optreden van de mediagigant twijfelachtig, en zegt dat het verre van zeker is dat de software nu veilig genoemd mag worden
AOL heeft namelijk niet de fout hersteld in de software zelf, maar alleen hun server configuratie aangepast. Dit is een lapmiddel, goed als een tijdelijke oplossing, maar niet een permanente oplossing. Je gaat nu vertrouwen op de goede werking van je filters, terwijl de zwakke plek in het systeem nog steeds aanwezig is. Terecht dat w00w00 twijfels heeft over het systeem.
AOL heeft namelijk niet de fout hersteld in de software zelf, maar alleen hun server configuratie aangepast.
Als het nu niet meer mogelijk is om met die aanvragen een buffer overflow te veroorzaken is het toch opgelost (wat betreft die bug dan)? Het is veel gemakkelijker om de servers aan te passen dan te vertrouwen op de gebruikers, want je kan wel een patch uitbrengen, maar de ervaring leert dan veel mensen een patch niet installeren, kijk maar naar IIS, een worm wat een oude leak gebruikt en waar allang een patch voor is, kan nog steeds voor schade zorgen.
oed als een tijdelijke oplossing, maar niet een permanente oplossing. Je gaat nu vertrouwen op de goede werking van je filters, terwijl de zwakke plek in het systeem nog steeds aanwezig is.
Als het filter goed werkt, dan is dat toch ook een goede permanente oplossing? Ik ben het wel met je eens dat de zwakke plek nog steeds aanwezig is, en dat daar iets aan gedaan moet worden.
Nee, dat is geen goede oplossing. Blijkbaar is het mogelijk om door 'bepaalde data' naar iemands AIM-client te sturen, een buffer overflow te genereren.

Bij een buffer overflow kan in principe elke code die door de aanvaller gewenst is, uitgevoerd worden.

Dat AOL nu de servers fixed wil zeggen dat de servers niet meer deze data naar de AIM-client sturen, echter als je iemand kent met een client zou je die data ZELF kunnen sturen, en zodoende alsnog de bug exploiteren.

Ik neem aan dat AOL de bug in de clients bij een volgende release zal fixen. Dat ze niet *METEEN* een nieuwe release uitbrengen, maar misschien wachten tot ze meer dingen aangepast hebben vind ik begrijpelijk. Security-technisch blijft het echter slecht.
hmm, kennelijk hebben die IM's allemaal wel zwakheden.
ik bedoel , het is begonnen toen iedere scriptkiddo stront kon trappen op icq, en laatst hoorde ik iets heel erg vaags over dat ding van (god betere het) msn.
heb ik ook gehoord, een bekende van me heeft dat probleem gehad.

je krijgt een bestandje toegestuurd met de naam foto's bijvoorbeeld. als je dat dan opent dan kun je ineens niets meer met de contacts uit je eigen lijst, die heeft die ander dan helemaal over genomen. je bent dan dus je lijst kwijt en een ander kan onder jouw naam verder chatten.

redelijk link dus. maar ik neem aan dat de tweakert zich wel 3 keer bedenkt voor hij een bestandje van iemand die hij niet kent aaneemt en als het een bekende is die het bij je doet dan weet je hem zelf natuurlijk wel te vinden.
Puur even afvragend, maar euhmm wie gebruikt er eigenlijk AIM?

Is dit niet meer een amerikaans product? Daar wordt immers AOL je overal door de strot geduwd...

No flame intended.
Ik gebruik het zakelijk.
Maar je hebt wel gelijk, het wordt volgens mij in Nederland niet veel gebruikt.
Voor vulnerable systemen moet je ook buiten nederland kijken. AIM is nog steeds nummer 3 op de IM programma's. DIt betekent nog steeds genoeg systemen die te misbruiken/infecteren zijn. Genoeg ruimte dus weer wat clients voor een DDos te verwerven.
AIM is /ook/ als losstaand product te downloaden. Ook buiten .us is het veel in gebruik, heb het zelf ook gehad :)
Mja. Trillian dan maar? :)

Kom maar op met die externe apps aanvragen... > :)

* Request not understood
* Request not understood
* Request not understood
* Request not understood
* Request not understood
enz...
Ik weet niet in hoeverre ze verschillen (en hier werd er niet over gesproken boven), maar AIM is wel een broertje van ICQ...
Tsja, in de VS schijnen ze AOL all that te vinden. Vind het maar nix, vooraal die reclame he (ja kweet der is een patch voor)

Trillian crashed gelukkig niet, Hmm daarworden de fouten denk ik beter afgevangen. Zo reageert Trillian ook niet op een exploit waarmee je MSN kunt crashen. Die exploit is al een paar dagen bekend. Ik denk trouwens dat MSN hier in NL wat meer gebruikt wordt..... (al een paar dagen geleden een submit over de MSN-exploit gedaan, blijkbaar is AIM belangrijker nieuws??) :(
Heel erg triest van Fortuyn, ik ben er al de hele nacht sjagerijnig van, maar daar gaat het in dit stukje niet over. Over Fortuyn kun je bij FOK genoeg lezen en reageren

het gaat hier over de AOL Instant Messenger.
ehm ff offtopic maare

heb je al in ntsm op got gekeken ?

nee blijkbaar ... daar zijn al bijna 5000 reacties
:z. Als we het niet doen gezeur, als het we het wel doen gezeur (zie 11 sept). Tis goed hoor.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True