Ошибки в чат-программе ставят под удар миллионы пользователей

В этот уикенд ирландский специалист по компьютерной безопасности обнародовал подробности о двух ошибках в популярной чат-программе mIRC: злоумышленники могут воспользоваться ими для установки своих программ на чужие компьютеры.

Эти лазейки делают пользователей mIRC — популярной Windows-программы для чата в реальном времени в сети так называемых серверов Internet relay chat — уязвимыми для атаки в том случае, если они подключены к неблагонадежному серверу, поясняет Джеймс Мартин (James Martin), независимый консультант по безопасности, обнаруживший одну из ошибок. «Воспользоваться этой лазейкой не просто, — говорит он. — Но у многих уже есть необходимый для этого код».

Это далеко не первый случай обнаружения уязвимости чат- и IM-программ. В прошлом месяце компании America Online пришлось закрывать лазейку в своем приложении AOL Instant Messenger, а затем интернет-гигант предупредил об уязвимости программы ICQ. Проблема программы mIRC затрагивает более 1 млн человек. Хотя общее число ее пользователей неизвестно, в списке рассылки объявлений о продукте, согласно веб-сайту mIRC, содержится примерно миллион адресов.

Один из пробелов в защите mIRC связан со способом управления псевдонимами, поступающими от сервера. Когда сервер посылает на компьютер участника чата имя длиной свыше 200 символов, возникает ошибка переполнения буфера, что позволяет добавить к данным код, исполняемый на этом компьютере. Обычно такие скрытые команды используются злоумышленниками для загрузки и установки своих программ.

Вторая ошибка позволяет недобросовестным пользователям mIRC направлять других участников чата на нужный им сервер IRC посредством HTML-кода, расположенного на веб-странице или в письме Outlook. Для этого достаточно отправить URL или e-mail партнеру по чату и убедить его кликнуть на определенной ссылке. После этого HTML-код автоматически переадресует жертву на неблагонадежный сервер.

Ошибки, по словам Мартина, присутствуют во всех версиях mIRC, кроме последней версии 6.0. Связаться с создателем mIRC Каледом Мардам-Беем (Khaled Mardam-Bey), чтобы получить комментарии по поводу проблемы, пока не удалось. Его веб-сайт анонсирует появившуюся в воскресенье версию mIRC 6.0, но о проблемах более ранних версий не упоминает.

Предыдущие публикации:

2001-03-16		Компания пострадала из-за неосторожного обращения с ICQ
2001-07-02		ICQ снова взломали
2002-01-24		Академия наук: за глюки ─ под суд

Обсуждение и комментарии

	Egres 7 Feb 2002 7:40 AM
Что говорится... не пользуйтесь люди всякими "приблудами". З.Ы. Кста, а что это zdnet ничего не пишет по данному вопросу http://www.cnews.ru/topnews/2002/02/05/content7.shtml

	- 7 Feb 2002 10:57 AM
Бред какой-то... шестой год пользуюсь мирком, и никогда проблем с ним не было.

	А вот эксплоит: 7 Feb 2002 11:27 AM
http://securitylab.ru/?ID=28695

← январь 2002

2 3 4 5 6 7 8 10 11

март 2002 →