Критическая уязвимость в AIM по-прежнему работает

AOL выпустила во вторник, 16 октября 2007 г., финальную версию интернет-пейджера AIM 6.5 с устранением уязвимости к выполнению внедренного в сообщения вредоносного HTML и JavaScript кода в контексте «Локальной зоны» Internet Explorer. Однако исследователь Авив Рафф (Aviv Raff) утверждает, что опасность не миновала.

Уязвимость, обнаруженная 24 сентября 2007 г. компанией Core Security, была устранена в бета-версии AIM 6.5.4.15, которая во вторник была доведена до финальной. Векторы атаки, о которых сообщала Core Security, были устранены.

Но приложение по-прежнему обрабатывает HTML-код в «Локальной зоне» при помощи компонента Internet Explorer, и поиск новых способов внедрения вредоносных сценариев – дело времени, утверждает израильский исследователь. Для того чтобы не подвергнуться риску, необходимо вручную запретить AIM использовать «Локальную зону» через реестр, советует г-н Рафф.

Эрин Гиффорд (Erin Gifford), представляющая AOL, еще в конце сентября заявила, что уязвимость устранена на серверном уровне: сервер блокирует вредоносные сообщения, и они, таким образом, не доходят до жертвы.

©  CNews