Biztonsági rés az MSN Messengerben

Már letölthetők az ellenszere annak a puffer-elárasztásos biztonsági réshez, amelyet nemrég a Microsoft ingyenes üzenőprogramjának chat-funkciójában találtak.

Christopher Budd, a Microsoft biztonsági szakértője elmondta, hogy a sebezhetőséget az MSN Chat Controlban - egy ActiveX vezérlőben - találták, ami megtalálható az MSC Messenger 4.5 és 4.6 verziójában, illetve az Exchange Instant Messenger 4.5 és 4.6 verziójában.

Az egyéni felhasználók a frissített verziók letöltésével oldhatják meg a hibát, míg a nagyvállalati felhasználók esetében a frissítés gyakorlatilag a csevegőprogram lebénítását jelenti. A sebezhetőség kihasználható elektonikus levél, rossz szándékú webhely vagy bármely egyéb módszer segítségével, ahol az Internet Explorert használva jelenítenek meg HTML kódot, illetve szoftvert, amely az ActiveX modult használja (vagyis gyakorlatilag potenciálisan érintett mindenki, aki a böngészőt használja). A MSN Chat Control azonban nincs alapértelmezésben feltelepítve sem a Windows, sem az Explorer egyetlen verziójában sem, csak a Windows XP-ben található a Windows Messenger, amely azonban védve van ettől a hibától.

Az elemzők szerint ez a sebezhetőség azért tanulságos, mert egy cég hivatalosan nem telepíti ezeket a programokat alkalmazottai számára, viszont egy alkalmazott feltelepítheti őket saját hivatali gépére, és ezzel sebezhetővé teszi az egész hálózatot. Az ilyen támadások ellen a legtöbb vállalat csak radikálisan tud védekezni: letiltja a HTML formátumot használó elektronikus leveleket és megtiltja dolgozóinak, hogy bármilyen programot letöltsenek az internetről gépeikre.

Korábban:

Nő a chat népszerűsége az irodákban