El agujero de seguridad estaba abierto desde setiembre pasado, y permitía tomar el control completo de cualquier PC que ejecute la última versión de AIM.

Michael Evanchik, un programador de 31 años, fue quien reportó el problema. “Podría haber tomado el control de 60,000 computadoras en solo dos días, pero no es mi intención. Sin embargo, cualquier atacante podría hacer eso muy fácilmente”, dijo Evanchik. “Es un agujero bastante grande, y no hay que pulsar nada para que actúe el exploit.”

En su intento de competir con sitios como Facebook y MySpace, que utilizan sus propios sistemas de mensajería instantánea, AOL ha agregado a su programa características adicionales que hacen que sea más fácil para los piratas informáticos atacar dicho software.

En octubre, la compañía publicó AIM 6.5 que corregía parcialmente una vulnerabilidad crítica relacionada con la manera que el programa maneja el código HTML. Pero expertos de seguridad criticaron a AOL por apresurarse en liberar una solución a medias, que solo confía en el filtrado a nivel del servidor para prevenir que código malicioso pueda transportarse por la red de AOL.

Recientemente, se ha confirmado que los expertos tenían razón, y que AIM 6.5 sigue siendo vulnerable a la misma debilidad fundamental, la cuál permite a usuarios malintencionados, crear un gusano que infecte a miles de usuarios en cuestión de horas.

Existen actualmente exploits que pueden eludir este filtrado, poniendo en riesgo a cientos de miles de usuarios que utilizan AIM 6.5.

Según Evanchik, basta una sola línea de código en JavaScript para llevar a cabo el ataque. Aunque él dice que no lo ha utilizado en su provecho, el origen del mismo es curioso. Evanchik desarrolló el ataque después que un usuario anónimo de MySpace comenzó a acosar a su hermana. Su idea era crear un keylogger en la máquina del acosador para utilizar las pruebas obtenidas.

El código puede descargar y ejecutar un archivo desde Internet. Luego hace que AIM intente visualizar una imagen inexistente desde la web. Debido a que el enlace no funciona, AIM 6.5 muestra un error que lleva al usuario a aceptar el mensaje, entregando de ese modo su computadora al atacante.

Hasta el momento, no existe una solución definitiva al problema, salvo no utilizar AIM.

Relacionados:

America Online AOL Instant Messenger AIM6.0 or 6.5 or higher XSS remote execution

http://securityvulns.com/Sdocument718.html

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com

AIM es el programa de mensajería instantánea de America On Line.

Un atacante podría aprovecharse de este problema para lograr la ejecución de un script en la ventana de notificación del programa, sin el conocimiento del usuario. La explotación exitosa puede permitir lanzar otros ataques.

La vulnerabilidad ha sido comprobada en la versión 6.1.41.2 del programa. Otras versiones podrían ser afectadas.

También aplicaciones compatibles con AOL Instant Messenger podrían ser atacadas exitosamente.

Más información:

AOL Instant Messenger Notification Window Remote Script Code Execution Vulnerability

http://www.securityfocus.com/bid/25659

AIM.COM

http://www.aim.com/get_aim/win/latest_win.adp

Créditos:
Shell and Lone

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com

Los datos fueron publicadas hace 10 días, aunque no fue noticia hasta este fin de semana. El enlace al los datos ya no está disponible.

“Ésto ha sido una confusión, y estamos enfadados y decepcionados por ello”, declaró Andrew Weinstein, portavoz de AOL.

“Ha sido un inocente intento de colaborar con la comunidad académica con herramientas de investigación, pero obviamente no ha sido suficientemente supervisado; de lo contrario de habría corregido inmediatamente”, explicó.

Por otro lado, la propia compañía ha anunciado el lanzamiento de un programa antivirus gratuito para sus usuarios ‘on line’, que proporciona análisis en tiempo real y actualizaciones cada hora.

El nuevo ’software’, llamado Active Virus Shield, está desarrollado por Kaspersky Lab Inc., un proveedor de soluciones de seguridad para Internet.

Asimismo, AOL permitirá que los usuarios de Internet Explorer instalen una barra de herramientas de seguridad gratis cuando descarguen el ’software’.

Fuente: Iblnews.com

En la etapa de pruebas participan los 33 millones de clientes de AOL en todo el mundo. AOL es el mayor proveedor de conexión del mundo y según analistas la tecnología podría surgir en versiones similares a corto plazo.

Con todo, SPF no es la única compañía en aspirar a ofrecer un protocolo seguro anti-spam. Los dos principales competidores son DMP (Designated Mailers Protocol) y RMX (Reverse Mail Exchange).

Al igual que SPF, los protocolos DMP y RMX apuntan a relevar al ya anticuado estándar actual SMTP (Simple Mail Transfer Protocol).

Enlaces de interés:
www.aol.com

DiarioTi.com

Fuente : IBLNews.Com