Kritisches Sicherheitsleck in AOL-Zugangssoftware [Update]
Durch einen Fehler in AOLs You've-Got-Pictures-Software könnten Angreifer Code auf das System einschmuggeln und ausführen.
Durch ein fehlerhaftes ActiveX-Control in AOLs You've-Got-Pictures-Software könnten Angreifer etwa durch manipulierte Webseiten einen Pufferüberlauf auslösen, der das Einschmuggeln und Ausführen von beliebigem Code auf das System erlaubt. Das You've-Got-Pictures-Findermodul YGPPicFinder.dll behandelt lange Zeichenketten nicht korrekt, wodurch der Pufferüberlauf auftreten kann.
Betroffen sind die Software-Versionen 8.0, 8.0+ sowie 9.0 Classic von AOL. Das fehlerhafte ActiveX-Control wurde auch von der You've-Got-Pictures-Webseite bis 2004 verteilt. Zur Behebung des Fehlers rät das FrSIRT, auf AOL 9.0 Optimized oder AOL 9.0 Security Edition umzusteigen oder einen Hotfix anzuwenden.
[Update]:
Laut Tobias Riepe von AOL Deutschland sind die deutsche Version 9.0 der AOL-Software sowie die deutsche Fassung des Fotocenters nicht von dem Problem betroffen.
Siehe dazu auch: (dmk)
- AOL "YGP Picture Finder Tool" ActiveX Control Buffer Overflow Vulnerability vom FrSIRT
- Download von AOL 9.0 Optimized oder AOL 9.0 Security Edition
- Download des Hotfixes