191745

Sicherheitslücke im AOL Instant Messenger

26.09.2007 | 16:22 Uhr |

Sicherheitsforscher warnen vor einer Sicherheitslücke im AOL Instant Messenger. Angreifer könnten die Lücke für eine massive Wurm-Attacke ausnutzen.

Wieder einmal sind Sicherheitsforscher auf eine Lücke in einem Instant Messenger gestoßen. Betroffen diesmal: der AOL Instant Messenger (AIM). Das Problem hängt damit zusammen, wie die AIM-Software mit der Software des Internet Explorers interagiert, um HTML-Nachrichten zu rendern. Um die Lücke auszunutzen, müssten Angreifer eine speziell präparierte HTML-Nachricht an AIM-Anwender senden, in der Folge könnte wahlweise bösartiger Code ausgeführt werden oder der Internet Explorer dazu gebracht werden, eine Website mit Malware zu besuchen, so Iván Arce, CTO bei Core Security Technologies, den Entdeckern der Lücke .

Die Art der Sicherheitslücke könnte auch dazu genutzt werden, eine vollautomatische Wurm-Attacke zu kreieren, so Aviv Raff von Core Security Technologies. "Beängstigend an dieser Lücke ist, dass sie recht leicht dazu genutzt werden kann, einen massiven IM-Wurm zu erstellen, da keine Interaktion seitens des Anwenders nötig ist", so Raff. Bislang sind allerdings keine derartigen Angriffe bekannt geworden. Bis ein Patch für die Lücke verfügbar ist, filtern die AOL-Server sämtliche IM-Nachrichten, um mögliche Angriffe schnell zu erkennen.

Die Experten sind sich allerdings nicht einig, wie AIM-Anwender nun verfahren sollen, um sich zu schützen. Während Arce rät, entweder auf die Version 6.5 Beta oder die Version 5.9 umzusteigen, ist Raff der Ansicht, dass auch die Version 6.5 Beta betroffen sein könnte. Und auch bei der älteren Version 5.9 ist er sich nicht sicher, ob sie gegen das Problem immun ist. Seiner Ansicht nach sollte AOL lieber den zugrunde liegenden Code säubern. AOL hingegen spricht in einer Pressemitteilung davon, alle Probleme mittlerweile behoben zu haben.

0 Kommentare zu diesem Artikel
191745