Критическая уязвимость в AIM по-прежнему работаетИсточник: securitylab
AOL выпустила финальную версию интернет-пейджера AIM 6.5 с устранением уязвимости к выполнению внедренного в сообщения вредоносного HTML и JavaScript кода в контексте «Локальной зоны» Internet Explorer. Однако исследователь Авив Рафф (Aviv Raff) утверждает, что опасность не миновала. Уязвимость, обнаруженная 24 сентября 2007 г. компанией Core Security, была устранена в бета-версии AIM 6.5.4.15, которая во вторник была доведена до финальной. Векторы атаки, о которых сообщала Core Security, были устранены. Но приложение по-прежнему обрабатывает HTML-код в «Локальной зоне» при помощи компонента Internet Explorer, и поиск новых способов внедрения вредоносных сценариев - дело времени, утверждает израильский исследователь. Для того чтобы не подвергнуться риску, необходимо вручную запретить AIM использовать «Локальную зону» через реестр, советует г-н Рафф. Эрин Гиффорд (Erin Gifford), представляющая AOL, еще в конце сентября заявила, что уязвимость устранена на серверном уровне: сервер блокирует вредоносные сообщения, и они, таким образом, не доходят до жертвы. |