47522

Weitere Details zur gestopften Lücke im Microsoft-Messenger

13.09.2007 | 14:28 Uhr |

Microsoft nennt weitere Details zu der gestopften Lücke im Messenger. Zwar ist ein Angriff nur über einen Video-Chat möglich, der kann aber auch dann erfolgen, wenn man selbst überhaupt keine Webcam besitzt. Anwender sollten die neue Version also installieren.

Microsoft hat zum Patch-Day im September unter anderem ein Update veröffentlicht, welches eine Sicherheitslücke im MSN Messenger 6.2 bis 7.5 und Windows Live Messenger 8.0 stopft. Insgesamt wurden zum Patch-Day in diesem Monat vier Sicherheitsupdates veröffentlicht . Das Sicherheitsupdate für den Messenger trägt die Bezeichnung MS07-054.

Das Microsoft Security Response Center ( MSRC ) hat nun weitere Informationen zu der Lücke im Messenger veröffentlicht. Dabei wird darauf hingewiesen, dass die Lücke nicht im Windows Live Messenger 8.1 enthalten ist, die seit Februar 2007 verbreitet wird.

Die Lücke steckt laut Angaben des MSRC in der Code-Bibliothek, die für das Webcam-Protokoll für Video-Chat verantwortlich ist und den Namen hermes.lib trägt. Da Windows Live Messenger 8.1 nur für XP und Vista erhältlich ist, wird Nutzern von Windows 2000 oder älteren Windows-Versionen empfohlen, den MSN Messenger 7.0.0820 zu installieren, der eine neue Version von hermes.lib enthält, in der die Lücke ebenfalls gestopft wurde.

Ein Angreifer kann die Lücke nur ausnutzen, wenn er eine Person zu einem Video-Chat einlädt. Standardmäßig erlauben MSN Messenger und Windows Live Messenger Video-Chats nur mit Personen, die bereits in der Kontaktliste sind. Stimmt man allerdings einer Video-Chat-Einladung eines Angreifers zu, dann kann die Lücke auch dann zuschlagen, wenn man selbst überhaupt keine Webcam besitzt. Daher wird empfohlen auf die neuen Versionen des Messengers umzusteigen und bis dahin keine Video-Chat-Einladungen von Fremden anzunehmen.

Die aktuelle Version von Windows Live Messenger ist auf dieser Microsoft-Site erhältlich.

0 Kommentare zu diesem Artikel
47522