Home > Notícias

Falha no AOL Instant Messaging permite ataques de worm em massa

Especialistas alertam que os ataques de worm podem se multiplicar com o envio de mensagens codificadas em HTML

Por IDG News Service/EUA

26/09/2007 às 16h46

Foto:

Especialistas alertam que os ataques de worm podem se multiplicar com o envio de mensagens codificadas em HTML

Uma falha crítica no AOL Instant Messaging (AIM) pode ser explorada por crackers para criar um ataque de worm que se auto multiplica, alertaram especialistas na terça-feira (25/09).

Leia mais:

A falha foi descoberta por pesquisadores de segurança da Core Security Technologies, que trabalham há semanas com a AOL para resolver o problema.

A vulnerabilidade está relacionada ao uso que o comunicador instantâneo faz do Internet Explorer para apresentar mensagens HTML.

Ao enviar uma mensagem maliciosa codificada em HTML para um usuário, o ataque pode rodar softwares não autorizados no PC da vítima ou forçar o navegador a visitar uma página fraudulenta.

“O assustador desta vulnerabilidade é que ela pode ser facilmente explorada para criar um ataque massivo de worms por mensagens instantâneas, uma vez que não requer nenhuma interação do usuário”, alertou o pesquisador de segurança Aviv Raff.

Os servidores da empresa, atualmente, estão filtrando o tráfego de mensagens instantâneas para interceptar quaisquer ataques, mas a AOL ainda deve ajustar o problema no software em si.

O ideal, segundo um especialista, é que por enquanto os usuários do AIM atualizem o comunicador para a versão beta 6.5 ou retornem para a versão 5.9, pois ambas não suportam renderização de HTML.

Contudo, Raff disse que a versão 6.5 ainda está vulnerável e ressaltou que o melhor é que a AOL ajuste o código do AIM.

Na terça-feira (25/09), a empresa afirmou, em resposta ao comentário de Raff, que “resolveu todas as questões apresentadas pela Core Security em todas as versões do programa”. Contudo, não falou sobre ajustar o código do programa.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail