Lue uutinen mobiilisivustolla

AOL:n Instant Messengerissä paha tietoturvareikä

3.1.2002 08:51 AOL Instant Messengerissä on saman tyyppinen puskurin ylivuoto-ongelma kuin mitä Windowseista löydettiin vastikään. Yli 100 miljoonan käyttäjän koneeseen on iso ovi avoinna käyttöjärjestelmätasolle saakka.

Yli 100 miljoonan käyttäjän pikaviestintäohjelma AOL Instant Messenger kärsii saman tyyppisestä pahasta tietoturva-aukosta kuin mitä taannoin paljastui Windowsin uusimmissa versioissa olevasta UpnP-tuesta. Puskurin ylivuoto mahdollistaa kohteena olevan koneen haltuunoton käyttöjärjestelmätasolla.

Vian on löytänyt w00w00-niminen hakkeriryhmä, johon kuuluu jäseniä 14 eri Yhdysvaltain osavaltiosta ja 9 muusta maasta. Ryhmää johtava 19-vuotias utahilainen Matt Conover suosittelee sisään tulevien viestien rajoittamista pikaviestiohjelman "kaverilistaan" kunnes korjaus asiaan on saatu. Tämä estää summan mutikassa AOL:n viestijärjestelmästä tehdyt hyökkäykset.

Conover on ryhmineen menetellyt samoin kuin moni muukin tietoturva-aukon viime aikoine löytänyt: ilmoittanut asiasta ohjelmiston valmistajalle ja kun paikkoa tai tässä tapauksessa edes vastausta ei ole kuulunut, julkistanut asian. Conoverin tapauksessa odotusajan pinna oli tavanomaista lyhyempi - jouluviikko riitti hänelle.

Tapaus varmasti kiihdyttää keskustelua siitä, miten tietoturva-aukkojen raportointi ja korjaaminen pitäisi suorittaa. Karkeasti sanoen keskustelussa voisi sanoa olevan kaksi äärilaitaa: vapaat "palkkasoturit", jotka kannattavat kaikkien reikien julkaisemista heti ja "ohjelmistotalojen ystävät", jotka hyväksyvät ohjelmistotalojen argumentin siitä, että käyttäjät ovat paremmassa turvassa jos löydettyihin ongelmiin on aikaa reagoida.

Bugtrackin Cooper: vastuutonta menettelyä

Muun muassa Bugtraqin ylläpitäjä Russ Cooper pitää Conoverin menettelytapaa vastuuttomana siksi, että Conover on vian julki tuodessaan julkistanut myös pienen esimerkkiohjelman, joka jumittaa kohteena olevan Instant Messengerin.

Cooper on antanut Conoverin lähettää löydöksensä Bugtrackin jakelun kautta maailmalle mutta vasta sen jälkeen kun oli huomannut tiedon leviävän muutakin kautta. Conover puolestaan puolustelee menettelytapaansa sanoen sen olevan jo historiallisesti ryhmälleen ominainen menettelytapa.

Mahdollinen tapa kiertää palomuuri?

CNET raportoi, että SecurityFocuksen Elias Levy on maalaillut reiän pahimmaksi käyttötavaksi yritysten palomuurien kiertämisen. Useimmat yritykset sallivat työntekijöilleen pikaviestinnän käytön ja tämä puolestaan avaa reiän sisäverkkoon.

Elias Aarnio toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Yksi kuollut ja yhdeksän haavoittunut ammuskelussa Hyvinkäällä

• Intian rikkain perhe avasi kohukotinsa ovet Vanity Fairille
• Pitkämäen keihään vahingoittama Sdiri vie IAAF:n oikeuteen
• Afrikkalaisten maahanmuutto kiristää tunnelmia Tel Avivissa
• Tasmanian tuholaista pelastetaan sukupuutolta