AOL AIM dính lỗi chết người

AOL Instant Messaging (AIM) bị phát hiện dính một lỗi bảo mật cực kỳ nguy hiểm có thể bị tin tặc lợi dụng để tổ chức tấn công người dùng bằng sâu máy tính tự nhân bản.

Theo các chuyên gia nghiên cứu bảo mật của Core Security Technologies Inc, lỗi này phát sinh trong phương thức AIM sử dụng trình duyệt Internet Explorer để tái hiện lại các thông điệp soạn thảo bằng HTML, đặc biệt là các tin nhắn có chứa hình ảnh đồ hoạ.

Ông Ivan Arce, giám đốc công nghệ của Core Security Technologies Inc, cho biết chỉ cần gửi một đoạn tin nhắn HTML được lập trình đặc biệt tới cho người dùng AIM là tin tặc đã có thể giành được quyền chạy các phần mềm độc hại trên PC của họ hoặc bắt trình duyệt Internet Explorer phải truy cập vào một trang web có cấy mã độc nào khác.

Chính vì thế mà lỗi này hoàn toàn có thể bị lợi dụng để tổ chức tấn công bằng sâu máy tính tự nhân bản. “Đặc biệt nguy hiểm lỗi này hoàn toàn có thể bị lợi dụng để tạo ra những con sâu phát tán rộng qua IM bởi lỗi này có thể bị tấn công mà không cần bất kỳ sự tương tác nào từ phía người dùng,” ông Aviv Raff, chuyên gia nghiên cứu bảo mật của Core Security, cho biết.

Tuy nhiên, hiện chưa có bất kỳ vụ tấn công nào thông qua việc lợi dụng lỗi bảo mật nói trên được phát hiện.

Ông Arce khuyến cáo người dùng AIM nên nhanh chóng nâng cấp lên phiên bản 6.5 Beta hoặc chuyển xuống dùng phiên bản 5.9 nhằm tránh nguy cơ bị tấn công bởi những phiên bản này không hỗ trợ tính năng tái tạo tin nhắn HTML.

Song ông Raff lại cho rằng chỉ có riêng phiên bản 5.9 là miễn nhiễm, phiên bản 6.5 beta cũng mắc lỗi. Theo ông cách tốt nhất là AOL phải nhanh chóng cho khắc phục lỗi càng sớm càng tốt.

Đại diện của AOL cho biết hãng chưa có ý định khắc phục lỗi trong thời gian này mà sẽ cho khắc phục hết trong phiên bản kế tiếp AIM. Hiện máy chủ tin nhắn tức thời của AOL đã áp dụng giải pháp lọc các tin nhắn HTML nhằm phát hiện các nguy cơ tấn công.

Hoàng Dũng

Thứ Tư, 26/09/2007 09:08
31 👨 25
0 Bình luận
Sắp xếp theo