256053

Neue Schwachstellen in AIM und Yahoo Messenger

20.09.2007 | 17:05 Uhr |

In den Instant-Messaging-Programmen von AOL und Yahoo sind erneut Sicherheitslücken entdeckt worden. Dazu passender Exploit-Code ist ebenfalls bereits öffentlich verfügbar.

Im Yahoo Messenger sind zwei neue Sicherheitslücken entdeckt worden, für eine davon ist bereits Beispiel-Code öffentlich verfügbar, mit dem schädliche Dateien geladen werden können. Je nach Einstellungen im Internet Explorer kann ein Angreifer dem Yahoo Messenger einen Dateinamen oder eine URL übergeben, von wo er eine Datei laden soll.

Die Sicherheitseinstellungen im IE 7 könnten den Erfolg eines solchen Angriffs jedoch verhindern. Dies ist bereits die dritte gefährliche Schwachstelle im Yahoo Messenger in diesem Jahr. Ein aktualisierte Fassung des Yahoo Messengers, die das Problem ausräumt, ist bislang noch nicht erhältlich.

Im AOL Instant Messenger AIM gibt es ebenfalls eine Sicherheitslücke, die sich zum Einschleusen schädlichen Codes eignet. Wie das Sicherheitsunternehmen Secunia berichtet , kann ein Angreifer diese Anfälligkeit mit einer speziell präparierten Nachricht ausnutzen, um eine begrenzte Menge von Script-Code im lokalen Kontext des Benutzers ausführen zu lassen.

Voraussetzung ist, dass ein potenzielles Opfer gerade mit jemand anderem chattet und der Angreifer in der Buddy-Liste des Opfers steht oder das Opfer die Mitteilung des Angreifers akzeptiert. Das Problem liegt in dem Fenster, das den Anwender über den Eingang einer neuen Mitteilung informiert. Die Programmfunktion für diese Meldung lässt potenziell schädlichen Code ungeprüft durch.

Als Vermeidungsstrategie bis zur Verfügbarkeit einer korrigierten AIM-Version sollten AIM-Benutzer die Funktion zur Meldung neu eingetroffener Nachrichten abschalten, nur vertrauenswürdige Personen in die Buddy-Liste aufnehmen und nur vor solchen Personen Nachrichten annehmen. Die Anfälligkeit steckt in AIM 6.1.41.2 und wahrscheinlich auch in älteren Versionen. Ein Update ist noch nicht erhältlich.

0 Kommentare zu diesem Artikel
256053