256835

Drei höchst kritische Lücken in Trillian entdeckt

23.05.2008 | 12:11 Uhr |

Derzeit wird der Multiprotokoll-Messenger Trillian sowohl in der kostenlosen Basic-Version als auch in der kostenpflichtigen Pro-Version von drei kritischen Sicherheitslücken heimgesucht.

Das Sicherheitsunternehmen Secunia hat drei höchst kritische Lücken in älteren Versionen des Multiprotokoll-Messenger Trillian Basic und Pro ab Version 3 gemeldet. Bei erfolgreicher Ausnutzung dieser Schwachstellen kann ein Angreifer das System des Nutzers übernehmen und einen Schadcode einschleusen. Die erste Schwachstelle ist auf einen Fehler in der Header-Syntaxanalyse für das MSN Protokoll zurückzuführen. Nutzt der Angreifer dieses Leck aus, kann er einen Pufferüberlauf über einen manipulierten X-MMS-IM-FORMAT-Header mit überlangen Attributen hervorrufen.

Das zweite Leck steckt in der XML-Syntaxanalyse in der Programmbibliothek talk.dll. Dieser Fehler erlaubt einem Hacker über bestimmte manipulierte Attribute in IMG-Tags direkten Speicherzugriff zu erlangen und dadurch ebenfalls einen Schadcode auszuführen. Die dritte Sicherheitslücke bezieht sich auf einen Fehler bei der Syntaxanalyse von Nachrichten wie etwa über das AIM-Protokoll (AOL Instant Messenger) mit überlangen Attribut-Werten innerhalb des Font-Tag. Bei erfolgreicher Ausnutzung kann der Angreifer einen Schadcode einführen. Voraussetzung: Der Hacker muss den Nutzer dazu bringen, eine manipulierte Image-Datei zu öffnen. Sicherheits-Tipp: Installieren Sie die aktuelle Ausgabe 3.1.10.0.

Trillian unterstützt mehrere Chat-Protokolle wie ICQ, AIM, MSN und Yahoo. Der Vorteil: Sie müssen nicht für jedes einzelne Protokoll einen separaten Client installieren. Das spart Platz auf dem Desktop und schont zugleich die PC-Ressourcen. Zudem haben Sie alle Ihre Chat-Kontakte übersichtlich auf einem Blick dargestellt.

Download: Trillian 3.1.10.0

0 Kommentare zu diesem Artikel
256835