شكاف امنيتي در نرم افزار چت AOL

10 آگوست 2004 – 20 مرداد 1383

شركت امريكا آنلاين امروز اعلام كرد كه نرم افزار چت اين شركت در مقابل يك حمله سرريز بافر قابل نفوذ است و قول داد كه طي چند روز آينده اصلاحيه اي براي آن ارائه كند.

مشكل امنيتي مذكور در بخش Away اين نرم افزار قرار دارد، بخشي كه به كاربران اجازه مي دهد تا به دوستانشان بگويند كه درحال كار با كامپيوتر نيستند. اين حفره در نسخه به روز رساني جديد نرم افزار پوشانده شده است و انتظار مي رود اين نسخه تا اواخر اين هفته ارائه شود.

اخبار اين حفره اواخر روز دوشنبه توسط شركت هاي امنيتي Secunia و Internet Security Systems منتشر شد. Secunia اين حفره را با درجه خطر بالا توصيف كرده بود كه اخطاري براي 36 ميليون كاربر  اين نرم افزار به حساب مي آمد. Secunia در گزارش خود آورده است:“ اين مشكل امنيتي از آنجا ناشي مي شود كه اندازه پيغامهاي Away كنترل نمي شود و لذا امكان انجام يك حمله سرريز بافر را فراهم مي آورد. كافي است يك پيغام Away با طولي بيش از 1024 بايت ارسال شود تا اين مشكل به وجود آيد.“

زماني كه حمله سرريز بافر انجام شد،‌ هكر مي تواند كامپيوتر قرباني را به يك وب سايت ديگر هدايت كند تا كدهاي بيشتري روي آن كامپيوتر قرار گيرد. بنا به گفته AOL ، اين حفره زماني فعال مي شود كه يك كاربر AOL IM روي يك لينك خطرناك كه در يك پيغام يا يك صفحه وب قرار دارد، كليك كند. نسخه 5.5 اين نرم افزار و نسخ قبل از آن را اين خطر تهديد مي كند. اين مشكل در تمام نسخ ويندوزي اين نرم افزار وجود دارد.

AOL از يك ماه پيش در حال كار بر روي اين مشكل است.