Sorunun Microsoft MSN Messenger 4.5 ve 4.6 kullanıcılarını etkilediği belirtiliyor. Her iki versiyon MSN Chat control içeriyor. Tabi bireysel MSN Chat kullanıcıları da durumdan etkileniyor. MSN Chat programı, ya doğrudan MSN Chat sitesinden yüklenebiliyor ya da Microsoft’un MSN Messanger ve Exchange Instant Messanger Programlarının içinde mevcut.
Sorun, MSN Chat kontroldeki bir parametreyi kullanan, bir buffer’dan ileri geliyor. Bu buffer kontrol edilmiyor. Bu paramatre’nin uygun şekilde kullanılması durumunda saldırgan kod’u kontrol edebilir hale geliyor. Bu tür zayıflık genellikle saldırganlar tarafından kendi programlarını sistemde çalıştırmak için kullanılıyor. MSN Chat kontrol kullanıcının güvenlik girişini kontrol ettiği için, saldırganın çalıştıracağı program, kullanıcının sitemindeki dosyaları silmek, yeni dosya eklemek ya da konfigürasyonu değiştirmek gibi işlemleri yapabilir.
Buffer overflow, bir e-mail ya da web sitesi ya da HTML’in yani Internet Explorer’ın kullanılabileceği herhangi bir methodla başlatılabiliyor. Saldırgan, kullanıcıyı belli bir siteye yönlendiriyor. Site ekrana geldiği zaman, kontrol saldırganın eline geçiyor. Bunun yerine Html kod e-mail ile gönderilmişse, kontrol e-mail açıldığı ya da eğer ön izleme ile bakılıyorsa, üstüne gelindiği an başlatılıyor.
Neyse ki; sorunun çözümü zor değil. MSN Chat kullanıcıları programlarını MSN Chat sayfasından güncelledikleri takdirde, bu açık gideriliyor. Sistemin tam olarak çalışması için kullanıcının chat odasına girip, güncellenmiş Chat kontrolun yüklenmesini onaylaması gerekiyor. MSN Messenger ve Exchange Instant Messenger kullanıcıları da bu adreslere giderek, kullandıkları yazılımı güncellemeliler.
Chat Kontrol aslında Windows ve IE’nin herhangi bir versiyonu ile birlikte satılmıyor. Bunlar Microsoft’un enson mail ürünleri olan, Outlook 2002 ve Outlook Express 6.0’yı kullananlar HTML bazlı saldırılara karşı default olarak korunuyorlar. Outlook 98 ve Outlook 2000 kullanıcıları da Outlook E-Mail Security Update adresinden gerekli programı yüklerlerse bu tür saldırılara karşı korunabilirler.
Hacker’dan gelen kod sanki bir kullanıcı değil de işletim sisteminden geliyormuş gibi gözükebiliyor. Bu nedenle kullanıcının güvenlik uygulamalarını geçebiliyor. Kullanıcı hesaplarının firma kuralları ile sınırlandırıldığı ortamlarda bu açık kullanılamıyor.
Microsoft, bu sorunun IM teknolojilerini etkilemediğine dikkati çekerek MSN Chat’in MSN Messenger’dan farklı olduğunu açıkladı. Windows Messenger ya da Exchange Instant Messenger uçtan-uca mesajlaşma programlarıdır ve kullanıcılara doğrudan diğer kullanıcılarla temas etme olanağı verir. MSN Chat ise ActiveX control kullanır. Kullanıcı grupları tek bir sanal alanda toplu olarak mesajlaşırlar. IM teknolojilerinde, kullanıcılar online olmak için bir directory sunucuya bağlanırlar. Ortada bir oda kavramı yoktur ve diğer kullanıcılarla doğrudan ve bire-bir mesajlaşırlar.
Microsoft sorunun bu nedenle The MSN Messenger ya da Exchange Instant Messenger kullanıcılarını etkilemediğini ekledi.
Ancak eEye Digital Security ActiveX nedeniyle, tüm Internet Explorer kullanıcılarının potansiyel olarak tehlike altında olduğunu söylüyor.
Microsoft kullanıcıları uyararak; “hacker sizi kendi web sitelerini ziyaret etmeleri ve kontrol’ü yüklemek için ikna edebilirler. Chat kontrol chat siteleri ile kullanılan bir programdır. Bu nedenle size durup dururken chat kontrol yüklemenizi isteyen bir site ile karşılaşırsanız, güvenilir olup olmadığını bir düşünün. Aslında en iyisi bu tür beklenmedik önerileri hiç kabul etmemek” diyor.
Kaynak : 