Vulnérabilités dans AOL Instant Messenger

Panda Software
Publié le 18 décembre 2000 à 20h08
0058000000046875-photo-aol-instant-messenger.jpg
Le grand nombre de vulnérabilités de surcharge de tampon qui a été découvert dans la messagerie client de Windows, AOL Instant Messenger (AIM), pourrait permettre l'exécution du code dans la machine ciblée.

L’une de ces vulnérabilités permet à un attaquant de prendre le contrôle de n'importe quelle machine dotée de AOL Instant Messenger. Le problème qui a été découvert réside dans le fait que pendant l'installation du programme, l’URL de protocole AIM est enregistrée comme un appel à son exécutable. Ceci permet à des utilisateurs d'éditer leur nom dans AOL sur une page Web ou dans un message de courrier électronique. N'importe quel autre utilisateur peut donc ainsi être inclus dans la liste des contacts par le seul fait de cliquer sur le lien.

Le protocole peut permettre la formation d'URL malveillantes avec des paramètres larges qui causent une surcharge de tampon. Si l’URL est ainsi conçue, l'attaquant peut exécuter le code sur la machine de sa victime. Pour que ceci se produise, il suffit que l’usager clique sur un lien malveillant dans un e-mail ou dans une page Web.

Le problème potentiel est très sérieux en raison du grand nombre des utilisateurs qui ont installé ce programme sur leur machine. Selon les données fournies par AOL, plus de 64 millions de personnes utilisent cette messagerie client instantanée. AIM peut être immédiatement téléchargé depuis Internet et est inclus par défaut dans les dernières versions de Netscape Communicator.
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles