Все новости от 6 февраля 2002 г.
Ошибки в чат-программе ставят под удар миллионы пользователей

В этот уикенд ирландский специалист по компьютерной безопасности обнародовал подробности о двух ошибках в популярной чат-программе mIRC: злоумышленники могут воспользоваться ими для установки своих программ на чужие компьютеры.
Эти лазейки делают пользователей mIRC — популярной Windows-программы для чата в реальном времени в сети так называемых серверов Internet relay chat — уязвимыми для атаки в том случае, если они подключены к неблагонадежному серверу, поясняет Джеймс Мартин (James Martin), независимый консультант по безопасности, обнаруживший одну из ошибок.
«Воспользоваться этой лазейкой не просто, — говорит он. — Но у многих уже есть необходимый для этого код».
Это далеко не первый случай обнаружения уязвимости чат- и IM-программ. В прошлом месяце компании America Online пришлось закрывать лазейку в своем приложении AOL Instant Messenger, а затем интернет-гигант предупредил об уязвимости программы ICQ.
Проблема программы mIRC затрагивает более 1 млн человек. Хотя общее число ее пользователей неизвестно, в списке рассылки объявлений о продукте, согласно веб-сайту mIRC, содержится примерно миллион адресов.
Один из пробелов в защите mIRC связан со способом управления псевдонимами, поступающими от сервера.
Когда сервер посылает на компьютер участника чата имя длиной свыше 200 символов, возникает ошибка переполнения буфера, что позволяет добавить к данным код, исполняемый на этом компьютере. Обычно такие скрытые команды используются злоумышленниками для загрузки и установки своих программ.
Вторая ошибка позволяет недобросовестным пользователям mIRC направлять других участников чата на нужный им сервер IRC посредством HTML-кода, расположенного на веб-странице или в письме Outlook. Для этого достаточно отправить URL или e-mail партнеру по чату и убедить его кликнуть на определенной ссылке. После этого HTML-код автоматически переадресует жертву на неблагонадежный сервер.
Ошибки, по словам Мартина, присутствуют во всех версиях mIRC, кроме последней версии 6.0.
Связаться с создателем mIRC Каледом Мардам-Беем (Khaled Mardam-Bey), чтобы получить комментарии по поводу проблемы, пока не удалось. Его веб-сайт анонсирует появившуюся в воскресенье версию mIRC 6.0, но о проблемах более ранних версий не упоминает.
Предыдущие публикации:
 | Egres 7 Feb 2002 7:40 AM |
Что говорится... не пользуйтесь люди всякими "приблудами". З.Ы. Кста, а что это zdnet ничего не пишет по данному вопросу http://www.cnews.ru/topnews/2002/02/05/content7.shtml
|
|
 | - 7 Feb 2002 10:57 AM |
Бред какой-то... шестой год пользуюсь мирком, и никогда проблем с ним не было.
|
|
 | А вот эксплоит: 7 Feb 2002 11:27 AM |
http://securitylab.ru/?ID=28695 |
|
|