AOL Instant Messenger permite ejecución de código


AOL Instant Messenger (AIM), permite el uso Mensajes de Disponibilidad, "Away Messages", para que un usuario configure su correo de modo que responda automáticamente a mensajes recibidos mientras se encuentre de vacaciones o no tenga acceso a su correo electrónico.





Según publica Secunia, se ha reportado una vulnerabilidad que
provoca un desbordamiento de búfer al utilizarse esta
facilidad, en la versión 5.x de este programa. El fallo puede
ser utilizado por usuarios malintencionados para comprometer
el sistema del usuario que ejecute la versión vulnerable del
AIM.

El fallo es provocado por un error de límites en el manejo de
los "Away messages", cuando estos superan los 1,024 bytes de
longitud. Esto puede ser explotado por un atacante a través
de un manejador "aim:" con un argumento excesivamente largo
en un parámetro "goaway?message".

De ese modo, el atacante podría provocar un desbordamiento de
stack (stack overflow), con la posibilidad de ejecutar código
malicioso en forma aleatoria. La pila (stack), es el espacio
de memoria reservada para almacenar las direcciones de
retorno en la ejecución de cada rutina y otra información
importante para la ejecución de los programas.

El ataque podría ser provocado cuando el usuario visita
determinados sitios, con páginas especialmente creadas para
provocarlo, si se tiene el AIM instalado.

La vulnerabilidad ha sido confirmada en la versión 5.5.3595
de AOL Instant Messenger pero otras versiones también podrían
estar afectadas.

Otros fallos reportados, también podrían provocar el consumo
de grandes cantidades de recursos del sistema, con el
consiguiente mal funcionamiento del mismo.

No hay respuesta del vendedor del producto al momento actual.


* Créditos:

Ryan McGeehan and Kevin Benes, TheBillyGoatCurse.com


* Relacionados:

AOL Instant Messenger "Away" Message Buffer Overflow Vulnerability
http://secunia.com/advisories/12198/

 

Por Angela Ruiz
vsantivirus.com



Otras noticias de interés:

Las redes sociales no van a cambiar el mundo (Que barbaro ese comentario)
Se puede leer en diferentes sitios web especificamente en itespresso.es donde indica Manuel Moreno que el profesor Alejandro Piscitelli (Universidad de Buenos Aires), en su ponencia en el I Congreso Iberoamericano sobre Redes Sociales expone: la fuer...
WordPress.com recibe un ataque de denegación de servicio
El servicio de blogs WordPress.com sufrió durante cuatro días un ataque DoS que impidió a los usuarios conectarse o subir posts a sus bitácoras....
¿Puertas traseras en Windows Vista? ¡Por encima de mi cadáver...!
Quien así se manifiesta es Niels Ferguson, criptógrafo holandés que trabaja para Microsoft, en respuesta a recientes informaciones sobre la posibilidad de que el Reino Unido hubiera solicitado que existiese una puerta trasera en Windows Vista para...
Brasil aprueba ley contra delitos cibernéticos
La Cámara de Diputados dio el miércoles su aprobación final a una reforma al código penal que castiga con la cárcel a quien comete crímenes por internet como robo de contraseñas e información y propagación de virus....
Software capaz de descubrir el origen de un virus
Un grupo de estudiantes de la EPFL, la Escuela Politécnica Federal de Lausana, esa universidad Suiza muy popular en Europa para las carreras técnicas, ha logrado crear un software que puede descubrir el origen de cualquier tipo de información, tam...
Cómo tener una dirección electrónica para siempre?
Si usa usted cada día el correo electrónico, probablemente no querrá acabar como Katherine Brand, funcionaria del gobierno de Estados Unidos que se pasó años desarrollando una base de clientes para su oficina en Washington, sólo para terminar p...
Algoritmo que detectaría botnets
Según cálculos de científicos en computación de la India, es posible que hayan dado con un algoritmo que detectaría la presencia de botnets y bloquearía sus actividades antes de que siguieran causando daños sobre el sistema....
Una start up crea routers que rebotan la señal Wi-Fi desde un punto a otro
Las posibilidades del protocolo 802.11b, o Wi-Fi (Wireless Fidelity), que permite comunicaciones inalámbricas gratuitas por banda ancha (11 Mbps.), siguen aumentando. Numerosas empresas pioneras del Silicon Valley californiano, que sirven de inspira...
Conversando con un hacker Venezolano sobre IIS 5.0
Rafael Núñez puede ser una persona poco conocida en el ambiente de tecnología, sin embargo su pseudónimo [RaFa] es ya extremadamente conocido en el mundo de la seguridad en Internet. Este venezolano, publicó el pasado 24 de marzo en la lista de ...
Ejecución de código en IE (JavaScript window)
Se emite esta alerta por haber sido publicado un exploit del tipo día cero (0day), para una vulnerabilidad crítica en Microsoft Internet Explorer, la cuál permite que atacantes remotos puedan ejecutar código de forma arbitraria....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • aol
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • codigo
  • computer
  • debian
  • ejecucion
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • instant
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • messenger
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • permite
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra