196196

Neue Lücke im MSN-Messenger

11.02.2002 | 13:34 Uhr |

Der MSN-Messenger kommt aus der Kritik nicht heraus. Nach der in der vergangenen Woche entdeckten Sicherheitslücke ist eine weitere aufgetaucht. Laut den Entdeckern Tom Gilder und Thor Larholm ist daran der Internet Explorer schuld.

Der MSN-Messenger kommt aus der Kritik nicht heraus. Nach der in der vergangenen Woche entdeckten Sicherheitslücke ist eine weitere aufgetaucht. Laut den Entdeckern Tom Gilder und Thor Larholm ist daran der Internet Explorer schuld.

Gilder und Larholm beschreiben die neue Lücke auf ihren Websites als weitaus gravierender als die zuvor entdeckte ( wir berichteten ), wie unsere Schwesterpublikation Tecchannel berichtet.

Durch den so genannten document.open-Fehler im Internet Explorer lasse sich der MSN-Messenger-Client vollständig übernehmen. Mit der "document.open"-Methode kann von einer Website aus eine andere geöffnet werden.

Die beiden Seiten sollten allerdings unabhängig voneinander sein. Das heißt Code, der auf der einen Seite ausgeführt wird, sollte die Eigenschaften der anderen nicht verändern können. Beim Internet Explorer existieren diese Schranke nicht, heißt es in der Fehlerbeschreibung der Bugtraq-Mailinglisten von Securityfocus.

Der Angreifer könne die Lücke nutzen, um im MSN-Messenger mit allen Benutzerrechten zu agieren. Gilder und Larholm haben dazu eine Demoseite aufgesetzt.

Nach den bisherigen Erkenntnissen der Entdecker besteht die Lücke in den Windows-Versionen 98/ME/2000 im Zusammenspiel mit Internet Explorer 5.5 und 6.

Die anfälligen MSN-Messenger-Versionen sind 4.5 und 4.6. Die genannten Versionen seien aber nur diejenigen, mit denen getestet wurde. Gilder und Larholm vermuten jedoch, dass alle Versionen anfällig sind.

Behindert AOL den Instant-Messenger Trillian? (PC-WELT Online, 01.02.2002)

Alleskönner-Messenger Trillian in neuer Version 0.72 erschienen (PC-WELT Online, 30.01.2002)

0 Kommentare zu diesem Artikel
196196