Kritische Sicherheitslücke im AOL Instant Messenger
Die aktuelle Version des AIM sowie die neue Beta-Version weisen ein Sicherheitsloch auf, durch das ein Angreifer beliebige Kommandos ausführen kann.
Laut einem Advisory von w00w00 Security Development (WSD) weisen die aktuelle Version des AOL Instant Messenger (AIM 4.7.2480) sowie die neue Beta-Version (4.8.2616) ein Sicherheitsloch auf, durch das ein Angreifer beliebige Kommandos ausführen kann.
Die Gefahr besteht in einem Buffer Overflow, der laut WSD so ausgenutzt werden kann, dass das Opfer den Angriff weder mitbekommt noch eine Chance hat, ihn zu blockieren. Der "Payload" des Shell-Codes könne mehrere tausend Bytes lang sein, wodurch sehr gefährliche und kreative Angriffe möglich sind.
Die Entdecker der Sicherheitslücke haben nach eigenen Angaben AOL informiert, jedoch keine Antwort erhalten. Einen Patch stellt WSD nicht bereit, "weil es illegal ist, Reverse-Engineering bei AIM zu betreiben". Jedoch empfehlen sie als temporäre Abhilfe entweder den AIM-Filter von Robbie Saunders oder eine restriktive Konfiguration der Buddyliste, bei der die Kontaktaufnahme nur durch vertrauenswürdige User möglich ist -- also nur durch Personen, die auf der eigenen Buddyliste stehen. (pab)
