jueves, 27 de septiembre de 2007

Vulnerabilidad en AOL Instant Messenger (AIM) 6.x

Se ha encontrado una vulnerabilidad en AOL Instant Messenger (AIM) que podría permitir a un atacante que enviara un mensaje a su víctima, ejecutar código arbitrario en el sistema afectado.

AOL Instant Messenger (AIM) es un popular cliente de mensajería instantánea con 53 millones de usuarios activos, según la Wikipedia.

Para ofrecer soporte de interpretación de contenido HTML, AIM utilizan el control mshtml.dll, propio de Internet Explorer. El programa no valida correctamente la entrada a este control. El fallo consiste en que un atacante podría enviar un mensaje especialmente manipulado e incluso ejecutar código arbitrario, sin que tenga que ser abierto por la víctima. También se puede ejecutar código JavaScript a través de etiquetas "img" incrustadas en el mensaje. Puesto que lo harían en la zona local, el código JavaScript tendría completo acceso al sistema.

AOL ha confirmado el fallo en AIM 6.1, 6.2 Pro y Lite calificándolo como "crítico". Aunque parece que en la parte de servidores se ha reforzado el filtrado de mensajes para evitar este fallo, algunos investigadores afirman que todavía es posible saltarse estas nuevas medidas de seguridad e introducir JavaScript en los mensajes. Por la parte del cliente, aunque la nueva versión beta decía corregir el problema, de nuevo parece que sigue siendo vulnerable (modificando ligeramente la prueba de concepto) la última versión de AIM, así lo confirman otros investigadores.

La página del descubridor ofrece también contramedidas para mitigar el potencial impacto de la vulnerabilidad.