شکاف امنیتی در نرم افزار چت AOL

10 آگوست 2004 – 20 مرداد 1383

شرکت امریکا آنلاین امروز اعلام کرد که نرم افزار چت این شرکت در مقابل یک حمله سرریز بافر قابل نفوذ است و قول داد که طی چند روز آینده اصلاحیه ای برای آن ارائه کند.

مشکل امنیتی مذکور در بخش Away این نرم افزار قرار دارد، بخشی که به کاربران اجازه می دهد تا به دوستانشان بگویند که درحال کار با کامپیوتر نیستند. این حفره در نسخه به روز رسانی جدید نرم افزار پوشانده شده است و انتظار می رود این نسخه تا اواخر این هفته ارائه شود.

اخبار این حفره اواخر روز دوشنبه توسط شرکت های امنیتی Secunia و Internet Security Systems منتشر شد. Secunia این حفره را با درجه خطر بالا توصیف کرده بود که اخطاری برای 36 میلیون کاربر  این نرم افزار به حساب می آمد. Secunia در گزارش خود آورده است:“ این مشکل امنیتی از آنجا ناشی می شود که اندازه پیغامهای Away کنترل نمی شود و لذا امکان انجام یک حمله سرریز بافر را فراهم می آورد. کافی است یک پیغام Away با طولی بیش از 1024 بایت ارسال شود تا این مشکل به وجود آید.“

زمانی که حمله سرریز بافر انجام شد،‌ هکر می تواند کامپیوتر قربانی را به یک وب سایت دیگر هدایت کند تا کدهای بیشتری روی آن کامپیوتر قرار گیرد. بنا به گفته AOL ، این حفره زمانی فعال می شود که یک کاربر AOL IM روی یک لینک خطرناک که در یک پیغام یا یک صفحه وب قرار دارد، کلیک کند. نسخه 5.5 این نرم افزار و نسخ قبل از آن را این خطر تهدید می کند. این مشکل در تمام نسخ ویندوزی این نرم افزار وجود دارد.

AOL از یک ماه پیش در حال کار بر روی این مشکل است.