47086

Lücke im AOL Instant Messenger

10.08.2004 | 10:16 Uhr |

Über eine Schwachstelle im AOL Instant Messenger (AIM) können Angreifer das System kompromittieren. Die Lücke lässt sich über einen ungeprüften Puffer ausnutzen.

Im AOL Instant Messenger (AIM) ist eine Sicherheitslücke entdeckt worden, die auf einem Begrenzungsfehler bei der Verarbeitung von "Away"-Nachrichten beruht. Dies berichtet unsere Schwesterpublikation Tecchannel . Durch Übergabe einer überlangen "Away"-Nachricht (rund 1024 Byte) kann die Lücke ausgenutzt werden, um einen Stack-basierten Pufferüberlauf zu erzeugen.

Laut zugehörigem Security Report ist dies auch durch eine speziell präparierte Website möglich, da über den "aim:"-URI-Handler die überlange Nachricht über den "goaway?message"-Parameter übergeben werden kann. Ein erfolgreicher Angriff erlaubt dann das Ausführen beliebigen Codes.

Die Sicherheitslücke ist bestätigt für die Version 5.5.3595 des Instant Messenger. Andere Versionen könnten jedoch ebenfalls betroffen sein. Abhilfe in Form eines Patches gibt es derzeit nicht.

Internet Explorer: Wichtiges Sicherheitsupdate erschienen (PC-WELT Online, 02.08.2004)

Sicherheitslücke: Mails besser nicht mit Word bearbeiten (PC-WELT Online, 13.07.2004)

0 Kommentare zu diesem Artikel
47086