Yahoo Messenger zeigt falsche Dateinamen
Angreifer können Nutzern des Yahoo Messengers durch lange Dateinamen unerwünschte Programme unterschieben. Ein Update von Yahoo fixt dieses und ein weiteres Problem.
Yahoo hat eine neue Version des Yahoo Messengers veröffentlicht, die zwei Sicherheitsprobleme beseitigt. Die erste Lücke ermöglicht es einem Angreifer, seinem Opfer ein Programm mit einer gefälschten Dateierweiterung unterzujubeln und es so dazu zu bewegen, ein vermeintliches Bild anzunehmen und dann auch zu öffnen. Das Dateiübertragungsfenster bricht überlange Dateinamen um, zeigt aber nur die erste Zeile an. Hat der Anwender die standardmäßig aktive Ordneroption "Erweiterungen bei bekannten Dateitypen ausblenden" nicht abgeschaltet, bemerkt er unter Umständen zu spät, dass er kein Bild öffnet, sondern eine Datei startet, die seinen Rechner infizieren könnte.
Die zweite Schwachstelle kommt nur zum Tragen, wenn Anwender mit eingeschränkten Rechten an einem System arbeiten und der Yahoo Messenger nicht in das Default-Verzeichnis "Programme" installiert ist. Dann nämlich stimmen die Zugriffsrechte des Installationsverzeichnisses nicht und ein Anwender kann dort ein Programm namens ping.exe ablegen. Beim nächsten Start des Audio Setup Wizard wird dieses Programm dann mit den Rechten des gerade angemeldeten Benutzers -- also möglicherweise denen des Administrators -- ausgeführt.
Beide Schwachstellen sind ab Version 6.0.0.1921 beseitigt, die Yahoo zum Download bereitstellt.
Siehe dazu auch: (eck)
- Update Informationen von Yahoo
- Advisory zu gefälschten Dateinamen von Secunia
- Advisory zum Audio Setup Wizard von Secunia
