Hôm qua, hai hãng bảo mật vừa cảnh báo về một lỗ hổng nghiêm trọng trong ứng dụng máy trạm của dịch vụ tin nhắn nhanh AOL Instant Messenger. Lỗi bảo mật này có thể khiến người sử dụng dễ dàng bị tấn công qua mạng.
Cả hai công ty bảo mật Internet Security Systems (Mỹ) và Secunia (Đan Mạch) đã lên tiếng cảnh báo đối với các hệ thống Windows đang sử dụng các phiên bản AOL Instant Messenger (AIM). Chương trình AIM có thể bị sử dụng để "tiêm" mã chương trình phá hoại từ xa vào hệ thống, nếu người dùng bị dụ dỗ truy vập vào những website được thiết kế tinh vi.
Lỗ hổng xuất hiện từ chức năng "Away" của AIM, vốn hiển thị trạng thái hiện thời của một người dùng tới các bạn chat khác. Lỗi bảo mật này có thể được những kẻ tấn công lợi dụng để tạo ra một lỗi tràn bộ đệm trên máy của nạn nhân. Sau đó, khi hệ thống đã bị tổn thương, kẻ tấn công có thể nạp vào và thực thi một mã chương trình phá hoại hoặc cài bọ Trojan, cho phép hắn sau đó có thể truy cập và giành quyền khống chế từ xa đối với máy tính của nạn nhân.
Phương thức tấn công có khả năng nhất sẽ là một đường link được gửi tới bằng một nick chat AIM. Chỉ cần nạn nhân kích vào đường link, họ sẽ truy cập vào website của tay hacker và bị tấn công mà không hề hay biết.
Secunia đã thông báo đầu tiên về lỗi bảo mật này, và xếp hạng nó ở mức nguy cấp "critical". Internet Security Systems (ISS), đã nhận thấy và thông báo với AOL về điểm yếu bảo mật trên từ tháng trước nhưng không công bố mà chỉ đưa ra cảnh báo của mình sau khi có thông báo của Secunia.
ISS cho biết thêm rằng phiên bản hiện tại AIM 5.5 dành cho Windows có chứa lỗ hổng bảo mật trên. Các phiên bản trước đó đang được điều tra.
Hiện tại, chỉ có một biện pháp sửa lỗi theo dạng khắc phục tạm thời được đưa lên website của ISS, nhưng công ty này cũng tiết lộ một tuyên bố từ AOL cho hay phiên bản beta mới sẽ được đưa ra trong đầu tuần này để sửa lỗi bảo mật mới được phát hiện.
Tuy nhiên, hiện website của AIM vẫn chưa có thông tin gì về bản beta mới cho ứng dụng máy trạm IM. Các đại diện của AOL hiện chưa thể liên hệ được để bình luận.
Bình Minh (Theo CRN)