Az AOL még mindig nem foltozta be az AOL Instant Messenger biztonsági rését

[ZDNet] Az AOL Time Warner még mindig nem javította ki az AOL Instant Messenger nevű azonnali üzenetküldő szolgáltatást nyújtó alkalmazásban talált biztonsági rést, s ezzel potenciális veszélynek teszi ki a programot használó internetezőket -- közölte egy biztonsági megoldásokkal foglalkozó kutatócég a hét végén.

A bug jelenlegi formájában legalább annyira veszélyes, mint az előző, januárban felfedezett rés. A hibát kihasználva az AIM programot futtató számítógépeken a felhasználó tudta nélkül indíthatnak el különböző programokat, állítja Matt Conover, a "w00w00" internetes biztonsággal foglalkozó kutatócég hackere.

A januárban felfedezett bug az "add game" parancsot érintette, most pedig a megfelelő formátumban küldött "add external application" parancs teszi sebezhetővé a gépet az ismert "buffer overflow" hibajelenségre alapozva. A w00w00 tájékozatása után az AOL Time Warner elméletileg kijavította ezt a hibát is szerver oldali filterek használatával, ez azonban a biztonsági cég szerint nem elegendő.

Az alkalmazásban lévő hibát továbbra sem javították ki, ezért az alkalmazás egyes vélemények szerint ugyanúgy sebezhető, mint a filterezés, szűrés előtt.

"Határozott véleményem, hogy nem tettek meg mindent az IM kliens biztonságossága érdekében" -- tette hozzá Conover. "A szűrés lehet, hogy elegendő speciálisan ennek a hibának a kivédésére, de ha itt megállnak, túlságosan lusták [a fejlesztők]."

Mivel az AOL Time Warner a hiba csak egy speciális változatát "fixálta" a hálózati funkciók felülvizsgálata helyett, továbbra is fennáll a veszélye, hogy támadások intézhetők az IM kliens ellen.