В AIM обнаружена свежая критическая уязвимость
Через день после того, как AOL устранила уязвимость в AOL Instant Messenger (AIM) к удаленному внедрению JavaScript, исследователь Авив Рафф (Aviv Raff) нашел способ обхода патча.AOL подтвердила открытие г-на Раффа. Он проверил концептуальный эксплойт на последней бета-версии 6.5, и эксплойт не сработал. Однако, изменив код, исследователь воспроизвел ту же самую уязвимость. В патче было добавлено фильтрование только отдельных html-тэгов и атрибутов, но основная причина уязвимости не была исправлена, пишет Eweek.com.
Уязвимость вызвана отсутствием фильтрации html-тэгов, поступающих в окно оповещения. Таким образом, злоумышленник может выполнить произвольный JavaScript-код на компьютере жертвы, отправив специально сформированное сообщение.
| Бесплатный ознакомительный семинар: «Обеспечение информационной безопасности бизнеса.» 18.10 |
© CNews
