Vous êtes sur le site public du Cert-IST
Vulnérabilités dans AOL Instant Messenger

Date :12 Juillet 2005

Publication: Article

AOL Instant Messenger (AIM) est une application permettant à ses utilisateurs de rentrer en contact en direct sur Internet.

Plusieurs débordements de pile ont été découverts dans AIM, rendant possible l'exécution de code à distance avec les privilèges de l'utilisateur local.

Le problème tient au fait que de nombreux utilisateurs sous Windows sont vulnérables, sans forcément en être conscients :

  • A l'installation, AIM configure le type d'URL aim:// afin de lancer dynamiquement le logiciel client. La vulnérabilité peut donc être exploitée via un e-mail ou bien un site web malicieux, sans pour autant que le client AIM ait été préalablement lancé; il suffit qu'il soit installé sur le système.
  • Le client AIM est installé en standard avec Netscape Communicator version 4.51 et supérieure sur Windows.

Il est donc conseillé :

  • Aux utilisateurs d'AIM, de mettre à jour leur client. Une version corrigée est disponible à l'adresse : http://www.aol.com/aim/home.html
  • Aux personnes ayant AIM installé sur leur poste mais ne l'utilisant pas, de le désinstaller via le "Panneau de configuration -> Ajout / Suppression de programmes ".

Référence : http://www.atstake.com/research/advisories/2000/a121200-1.txt