Güvenlik Uzmanları geçen çarşamba, AOL Instant Messanger’in son (4.7.2480) ve beta (4.8.2616) versiyonlarında “temel güvenlik problemi” olarak tanımladıkları bir güvenlik açığı buldular. AOL yetkilileri, 100 Milyondan fazla kullanıcıda AIM olduğunu belirtiyorlar.
Kar amacı gütmeyen bir güvenlik araştırma grubu olan, w00w00 Güvenlik Geliştirme Grubundaki Uzmanlar, “bu açığı kullanan saldırgan, kurbanın bilgisayarına girebilir ve hiçbir şekilde de anlaşılamaz. Engellemenin yolu da yok. Ancak bu sadece windows versiyonu için geçerli. Çünkü, windows dışı versiyonlar, açığı yaratan özelliği desteklemiyor ” diyorlar.
w00w00’ye göre, açığı yaratan özellik “Play game with a buddy – arkadaşınla oyun oyna” özelliğini kullandığınız zaman çalışan koddan ötürü ortaya çıkıyor.
w00w00 araştırmacıları, “bu açık öylesine büyük ki, bilgisayarınızın kapılarını hiç olmadığı kadar açık bırakıyor. Ufak bir programla web’den kolaylıkla kurbanlar seçilebilir ve saldırıya geçilebilir. Üstelik bugüne kadar gördüğümğüz kadarı ile, sosyal networklerin karakteri burada da işleyebilir. Bu tür saldırının bütüne yayılması çok kısa bir süre alır” diyorlar.
AOL’dan Andrew Weinstein çarşamba öğleden sonra açıklama yaparak, hatayı çözmeye çalıştıklarını açıkladı. “Problemin ne olduğunu anladık ve bir çözüm geliştirdik. Çözümü 1-2 gün içinde yerleştireceğiz” dedi. Weinstein ayrıca, sunucudan otomatik sunulan bir yama olacağı için kullanıcıların yüklemesine gerek olmayacağını ekledi.
w00w00, Digital Millennium Copyright Act (DMCA) organizasyonunun, açıklar için yama kullanılmasını sınırladığını hatırlattı. DMCA’ya göre, ürün; teknolojiyi korumak açısından binary form olarak üretilmişse (ki AOL böyle), tersine işlem yapmak doğru değil.
w00w00; “Normal olarak biz tamir etmeye çalışabilirdik, ama tersine işlem yapmak kanuna aykırı, o nedenle de yapamıyoruz” dedi.
w00w00 kullanıcıların, AOL’un hatayı tamir etmesini beklerken, kendilerini bedava yüklenen, Wicon Software’in AIM Filtresi türü bir programla koruyabileceklerini söyledi.