Verfasst: 26.09.2007, 10:45
Core Security hat eine Sicherheitsmeldung zu Schwachstellen in AOLs Instant Messenger (AIM) veröffentlicht. Die Chat-Software nutzt zur Darstellung der Nachrichten Microsofts HTML-Bibliothek mshtml.dll und überprüft die eingehenden Daten nicht ausreichend, sodass Angreifer etwa beliebige Befehle auf dem Rechner von AIM-Nutzern ausführen können.
In der Meldung erläutern die Sicherheitsforscher, dass Angreifer eine Nachricht an AIM-Nutzer schicken können, die diese nicht einmal öffnen müssten; schon beim Empfang der Nachricht öffne sich etwa die Eingabeaufforderung, beliebige Befehle seien so ausführbar.
Eine fehlerbereinigte Version will AOL Mitte Oktober veröffentlichen. Bis dahin soll es helfen, die aktuelle Beta-Version von AIM zu nutzen, die für den Fehler nicht anfällig sein soll.
http://www.heise.de/newsticker/meldung/96545
In der Meldung erläutern die Sicherheitsforscher, dass Angreifer eine Nachricht an AIM-Nutzer schicken können, die diese nicht einmal öffnen müssten; schon beim Empfang der Nachricht öffne sich etwa die Eingabeaufforderung, beliebige Befehle seien so ausführbar.
Eine fehlerbereinigte Version will AOL Mitte Oktober veröffentlichen. Bis dahin soll es helfen, die aktuelle Beta-Version von AIM zu nutzen, die für den Fehler nicht anfällig sein soll.
http://www.heise.de/newsticker/meldung/96545