【IT专家网独家】安全研究人员警告称,AOL(美国在线)即时消息客户端软件基于网络的图片显示方式存在一个严重的安全漏洞。犯罪分子利用这个安全漏洞能够实施自我复制的蠕虫攻击。
这个安全漏洞是Core安全技术公司的研究人员发现的。这家安全公司在过去的几个星期里一直与AOL合作开发修复这个安全漏洞的补丁。安全研究人员星期二(9月25日)称,AOL服务器现在能够过滤即时消息通讯以拦截任何攻击。但是,该公司还没有修复其客户端软件中的这个安全漏洞。
Core首席技术官Ivon Arce说,这个安全漏洞与AOL即时消息(AIM)软件使用IE浏览器软件传送HTML消息有关。通过向AIM用户发送恶意编码的HTML消息,攻击者能够在受害人计算机上运行未经授权的软件或者强迫IE浏览器访问嵌入恶意编码的网页。
据Arce和安全研究人员Aviv Raff说,这类安全漏洞能够被用来制造自我复制的蠕虫攻击。后者星期二报告称他在AIM软件中发现一个相关的安全漏洞。Raff通过即时消息说,这个安全漏洞可怕的地方在于它能够很容易被用来创建一个大规模的即时消息蠕虫,因为它不需要任何用户的互动。
目前还没有发现任何利用这些安全漏洞实施的攻击。
Arce说,对于AIM用户来说,最安全的做法是升级到6.5测试版或者把AIM软件版本降低到不支持传送HTML文件功能的5.9版。
但是,Raff表示了不同的看法。他说AIM 6.5版仍然受到他发现的这个安全漏洞的影响。他认为最好的做法是AOL修复这个安全漏洞,尽管AIM 5.9版可能不会受到这个安全漏洞的影响。
据AOL星期二发表的声明称,AOL可能没有计划很快修复这个AIM软件中的安全漏洞。AOL在声明中说,我们已经解决了Core安全公司向我们提出的过去、现在和未来版本的AIM软件中的全部问题。AOL没有对Raff的发现发表评论。