Sicherheitsleck in AOL-ActiveX-Modul
In AOLs Zugangssoftware hat der Sicherheitsdienstleister Secunia Sicherheitslücken entdeckt, durch die bösartige Individuen etwa mit präparierten Webseiten eigenen Programmcode einschleusen und ausführen können.
In AOLs Zugangssoftware hat der Sicherheitsdienstleister Secunia Sicherheitslücken entdeckt, durch die bösartige Individuen etwa mit präparierten Webseiten eigenen Programmcode einschleusen und ausführen können. Der Fehler betrifft das von der Zugangssoftware installierte ActiveX-Modul CDDBControlAOL.
In dieser ActiveX-Komponente kann ein Pufferüberlauf beim Verarbeiten zu langer Werte für die SetClientInfo()-Funktion auftreten. Dazu muss ein nicht genannter Registry-Schlüssel den Wert "1111" enthalten, was in der Standardinstallation nicht der Fall ist. Dafür kann eine manipulierte Webseite aber auch automatisch sorgen, indem sie zuerst das ActiveX-Modul CerberusCDPlayer instantiiert, das die AOL-Software ebenfalls installiert.
Der Secunia-Meldung zufolge intallieren die AOL-Zugangssoftware-Versionen 7.0 Revision 4114.563, 8.0 Revision 4129.230 und 9.0 Security Edition Revision 4156.910 die fehlerhaften Module. Das Unternehmen vermutet jedoch, dass auch weitere Versionen betroffen sind. AOL empfiehlt seinen Nutzern, ihre Zugangssoftware auf die aktuelle Version 9.0 Security Edition zu aktualisieren, sofern sie noch ältere Varianten einsetzen. Wer bereits die Security Edition einsetzt, müsse sich lediglich am AOL-Dienst anmelden und bekomme dann automatisch fehlerbereinigte Versionen der Dateien eingespielt.
Siehe dazu auch:
- AOL CDDBControl ActiveX Control "SetClientInfo()" Buffer Overflow, Sicherheitsmeldung von Secunia
(dmk)
