[SECURITY-L] Bug no AIM abre PC para invasao

[Daniela Regina Barbetti Silva]

----- Forwarded message from Andre Aparecido Nogueira <andre em agr.unicamp.br> -----

From: Andre Aparecido Nogueira <andre em agr.unicamp.br>
Subject: Bug no AIM abre PC para invasão
To: Daniela Regina Barbetti <daniela em ccuec.unicamp.br>
Date: Fri, 25 Oct 2002 07:24:51 -0300


   Bug no AIM abre PC para invasão


         Quinta-feira, 24 de outubro de 2002 - 16h48

SÃO PAULO ? O AOL Instant Messenger (AIM) versão 4.8.2790 apresenta uma 
falha de segurança que permite a execução remota de arquivos na máquina 
do usuário. O alerta foi publicado no fórum Bugtraq, da empresa Security 
Focus.

Segundo Blud Clot, autor do alerta, um usuário mal intencionado do AIM 
pode enviar à vítima um link apontando para um executável. O arquivo 
será aberto sem aviso. O link pode conter um texto inocente ? por 
exemplo, o endereço de um site de pesquisa ?, mas de fato apontar para 
um executável na máquina do usuário. Por essa brecha o micro pode ser 
invadido e controlado remotamente.

Clot diz que uma solução para o problema é fazer o upgrade para uma 
versão mais nova do AIM, ou mesmo voltar para uma versão anterior à 
4.8.2790, já que somente ela tem a vulnerabilidade. Ele afirma que o bug 
é confirmado no Windows 2000 e no Windows Me, mas acredita que o 
problema ocorra em todas as versões do sistema.


       FOnte: Carlos Machado, da INFO

-- 
      Andre Aparecido Nogueira
      Faculdade de Eng. Agricola - UNICAMP                      °v° 
      Adm. de Redes Windows_NT e LINUX/Suporte aos Usuarios.   /(_)\  
                                                                ^ ^

----- End forwarded message -----