O w00w00, um grupo internacional e não-lucrativo de hackers, detectou um novo buraco de segurança no AOL Instant Messenger (AIM), o programa de instant messenger do conglomerado AOL Time Warner. Esta vulnerabilidade, que atinge a nova versão oficial do AIM (4.7.2480) bem como a versão beta mais recente (4.8.2616) - para além das outras versões anteriores à 4.7 -, é considerada como sendo um grave problema de segurança.



Explorando uma falha no código de programação do AIM que processa um pedido de "games", é possível entrar remotamente em computadores sem que o autor ou autores do ataque sejam identificados. Mediante a opção "Play Game with a Buddy", pode enviar-se uma enorme quantidade de texto, o que irá provocar uma sobrecarga de memória - buffer overflow -, um problema semelhante ao que foi recentemente detectado no Windows XP - no programa do receptor.



Os atacantes podem assim obter o controle do PC do utilizador. Este, por sua vez, não tem hipótese de recusar o pedido. Apenas as versões para o Windows estão vulneráveis. Os utilizadores de computadores de bolso da Palm e Macs da Apple, bem como de outras plataformas, estão imunes. Isto porque só as versões Windows é que suportam actualmente a funcionalidade de jogos online de multijogador em que ocorre a falha de segurança. Os clientes do serviço de acesso à Internet da AOL nos Estados Unidos estão também protegidos.



Segundo a Wired News, a empresa de segurança Vigilinx também lançou ontem de manhã um aviso aconselhando todos os utilizadores do AIM a não utilizarem o serviço da AOL até que a empresa lance uma versão corrigida da aplicação. A companhia indicou ainda aos responsáveis pela segurança informática nas empresas de que deveriam remover e impedir a instalação do programa nos computadores dos funcionários.



Matt Conover, um hacker de 19 anos que estuda na Universidade Estatal do Utah, colocou no site do grupo um programa que encerra remotamente a aplicação de instant messaging de um utilizador. Mas este software pode ser modificado para, por exemplo, ver, manipular e eliminar quaisquer ficheiros guardados no disco rígido.



O w00w00 integra mais de 30 membros activos de 14 estados norte-americanos e outros nove países. Até que a AOL lance uma actualização do programa, Conover aconselha os utilizadores do AIM a limitarem as mensagens recebidas às pessoas que integrarem a sua Buddy List - lista de parceiros e amigos. Este serviço da AOL tem mais de 100 milhões de membros registados.



Conover afirma que o seu grupo detectou o problema há várias semanas atrás, mas que só contactou a empresa responsável depois do Natal. Devido ao facto de a AOL não ter respondido ao email que lhe enviaram, os elementos do grupo decidiram divulgar poucos dias depois detalhes sobre a falha em mailing-lists públicas sobre segurança.



Um responsável da AOL afirmou, contudo, à Associated Press que o problema será resolvido dentro em breve e que os utilizadores não terão que fazer nada para tal. "Identificámos a vulnerabilidade e desenvolvemos uma solução que deverá ser divulgada dentro dos próximos dois dias", afirmou Andrew Weinstein, em nome da empresa. "Ao que sabemos, este problema não afectou qualquer utilizador."


Notícias Relacionadas:

2001-12-26 - Falha de segurança no Windows XP provoca alerta do NIPC

2001-12-22 - eEye descobre três vulnerabilidades de segurança no Windows XP
2001-10-22 - Yahoo! renova instant messaging e AOL lança versão 7.0