AOL Instant Messenger, bug scoperto e risolto

A cura di Mondochat

05/01/02 - 3 Gennaio 2002: viene scoperto un pericolosissimo bug di sicurezza nelle versioni di AOL Instant Messenger per Windows 4.7.2480 e 4.8.2616 beta. Il problema affligge queste due versioni per Windows e le precedenti alla 4.7, ma non le versioni correnti per altri sistemi operativi (AIM è molto utilizzato in ambiente Mac).

Il pericolo si mostra da subito molto serio, in quanto gli utilizzatori di AIM, secondo la stima di AOL, sono più di 100 milioni. Il bug riscontrato consiste nella assoluta vulnerabilità del computer dell'utente quando utilizza la funzione ''Play Game with Buddy'', la nuova funzionalità di AIM per giocare on-line con i propri net-friends, implementata solo nelle ultime versioni per Windows. Utilizzando su questa funzione, la porta necessaria ad abilitare il gioco on-line rimane aperta a causa di un buffer overflow ed è quindi vulnerabile ad attacchi worm (come, ad esempio, in Outlook e in IIS) che potrebbero diffondersi paurosamente tramite le Buddy List degli utenti infettati. Non si ha alcuna indicazione sull'autore dell'attacco.

Tale bug viene scoperto dal w00w00 Security Development, un centro di ricerca no-profit per la sicurezza in rete, che pubblica anche un bollettino sul bug riscontrato. AOL, prontamente informata della scoperta, dichiara di aver individuato il bug e di aver già iniziato a lavorare per risolvere il problema in brevissimo tempo. Andrew Weinstein, portavoce di America On Line, dichiara inoltre che verrà realizzata una patch lato server in modo da non dover obbligare di utenti di AIM ad installare alcun fix.

Il giorno successivo alla scoperta del bug, AOL dichiara di aver risolto il problema mediante una patch-fix installata sui servers. E' sempre Andrew Weinstein a dichiarare a InternetNews.com che nessun utente di AIM ha ricevuto alcun attacco. Viene dunque confermato che gli utenti non dovranno installare alcuna patch sui loro PC e che potranno giocare on-line in tutta sicurezza.

Disclaimer