AOL Instant Messenger (AIM) es un popular cliente de mensajería instantánea con 53 millones de usuarios activos, según la Wikipedia.
Para ofrecer soporte de interpretación de contenido HTML, AIM utilizan el control mshtml.dll, propio de Internet Explorer. El programa no valida correctamente la entrada a este control. El fallo consiste en que un atacante podría enviar un mensaje especialmente manipulado e incluso ejecutar código arbitrario, sin que tenga que ser abierto por la víctima. También se puede ejecutar código JavaScript a través de etiquetas “img” incrustadas en el mensaje. Puesto que lo harían en la zona local, el código JavaScript tendría completo acceso al sistema.
AOL ha confirmado el fallo en AIM 6.1, 6.2 Pro y Lite calificándolo como “crítico”. Aunque parece que en la parte de servidores se ha reforzado el filtrado de mensajes para evitar este fallo, algunos investigadores afirman que todavía es posible saltarse estas nuevas medidas de seguridad e introducir JavaScript en los mensajes. Por la parte del cliente, aunque la nueva versión beta decía corregir el problema, de nuevo parece que sigue siendo vulnerable (modificando ligeramente la prueba de concepto) la última versión de AIM, así lo confirman otros investigadores.
La página del descubridor ofrece también contramedidas para mitigar el potencial impacto de la vulnerabilidad.
Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…
El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…
Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…
La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.
Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…
El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…