|
«Аська» – находка для шпиона
Известие о «дырке», обнаруженной в популярном интернет-пейджере ICQ, стало неприятным сюрпризом для 125 млн пользователей «аськи». При определенных условиях злоумышленники могут получить доступ к компьютеру пользователя ICQ. По данным онлайнового бюллетеня SecurityFocus, обнаруженный сбой в защите позволяет злоумышленникам добиться того, чтобы переданный ими программный код исполнялся на компьютере пользователя. Вышедшая осенью минувшего года ICQ 2001b неуязвима – «Дырка» имеет место в более ранних версиях программы. Соответсвенно, предлагаемый разработчиками «аськи» метод лечения очень прост – «проапгрейдить» программу до новой версии, которую всегда можно бесплатно скачать с сайта www.icq.com. Может даже сложиться впечатление, что это не столько рецепт лечения «дырки», сколько акция по продвижению нового товара. В последнее время конкурентная борьба на рынке интернет-пейджеров становится все острее – направление признано перспективным. И разработчики популярных программ этого типа – America Online, Microsoft, Yahoo! и др. – оснащают их все большим количеством «наворотов», вроде обмена мультимедиа-данными, голосовых чатов и т.п. Именно в одном из таких наворотов – ICQ Voice Video & Games – и был недавно обнаружен «глюк», позволяющий вызвать переполнение буфера данных. При этом злоумышленник, с помощью передачи специально сконструированного пакета данных, теоретически может получить контроль над компьютером жертвы, добившись удаленного выполнения нужного ему набора команд. По сообщению Instantmessagingplanet.com, впервые информация о данной «дырке» в защите появилась еще на прошлой неделе в специализированном списке рассылки Bugtraq. Сейчас о ней стало широко известно: предупреждение о необходимости обновления старых версий «аськи» появилась на самом сайте www.icq.com. Собственно говоря, слабость защиты ICQ широко известна. Историями о краже «хороших» номеров ICQ или разглашении данных переданных по «аське» сегодня уже никого не удивишь. Появившийся в декабре минувшего года компьютерный вирус Goner использовал ICQ как один из возможных каналов распространения – впрочем, чего хотеть от «аськи», когда стандартная электронная почта давно уже стала чуть ли не главным каналом передачи вирусов. Ожидать, что бесплатная программа будет хорошо защищенной или свободной от ошибок, наверное, было бы неправильно. Но дело в том, что в последнее время ICQ перестала быть бесплатной программой в полном смысле этого слова – ее пользователи получают в нагрузку рекламные сообщения, оплачивая соответствующий дополнительный трафик, и расходуя некоторое количество нервной энергии на их изучение (или искоренение с помощью появившихся в интернете утилит для этой цели). В любом случае разработчики (пусть даже и формально бесплатной) ICQ могли бы разослать всем пользователям этой программы сообщение о необходимости апгрейда, не ограничиваясь публикацией соответствующей информации на своем сервере, куда средний участник ICQ-сообщества заглядывает очень редко. Раз уж защита «аськи» так слаба, что ее пользователи регулярно получают навязчивые рекламные сообщения – так передали бы одно полезное, информационное. Любопытно отметить, что информация об опасной «дыре» в ICQ оказалась доступной всему миру через несколько месяцев после начала масштабных сокращений персонала в интернет-проектах America Online. В августе минувшего года было объявлено об увольнении трети сотрудников дочерней фирмы ICQ Inc. и 7,5% всего персонала интернет-проектов AOL. Вскоре эти планы стали воплощаться в реальность. Оставшиеся без работы квалифицированные программисты могут доставить немало неприятностей своей бывшей компании. Как известно, буквально несколько дней назад в сети появилась информация о «дыре» в другом интернет-пейджере компании America Online – AOL Instant Messenger. Тот «баг» был также связан с игровыми функциями онлайнового пейджера – возможно, обе «утечки» имеют общий источник. Страница перемещенаНажмите на эту ссылку для того, чтобы перейти... | |