Sicherheitsloch in AOLs Instant Messenger
Ryan McGeehan hat ein Sicherheitsloch im AOL Instant Messenger (AIM) entdeckt, über das sich beliebiger Code ausführen lässt.
Ryan McGeehan hat ein Sicherheitsloch im AOL Instant Messenger (AIM) entdeckt, über das sich beliebiger Code ausführen lässt. Das Problem steckt in der Behandlung der Away-Nachrichten: Eine überlange Nachricht (etwa 1024 Byte) löst einen Stack-Overflow aus. Ein Angreifer kann dies ausnutzen, indem er eine Website mit speziellen AIM-Links ausstattet (URI: aim://) und so speziell präparierte Away-Nachrichten übergibt.
Ryan McGeehan hat den Fehler der Sicherheitsseite secunia.com gemeldet; bestätigt wurde der Fehler für die aktuelle englische Version 5.5.3595, es könnten aber auch ältere Versionen betroffen sein. Möglicherweise ist auch die aktuelle deutsche Version 5.1 anfällig. Zusätzlich zu diesem Fehler entdeckte McGeehan noch einige andere Schwachstellen in AIM, die dazu führen können, dass das System vollständig ausgelastet wird (Denial of Service). AOL wurde laut Secunia informiert, aber hat noch nicht reagiert, einen Patch gibt es derzeit noch nicht.
Siehe dazu auch: (pab)
- Security-Advisory auf secunia.com
