Sicherheitsupdate für AOL-Software [Update]
Die Zugangssoftware von AOL patzt beim Verarbeiten von Bildern im .art-Format. Angreifer können durch die Lücke beliebigen Code einschleusen. Ein Update behebt den Fehler.
AOLs Zugangssoftware in Version 9 und ältere Fassungen weisen Sicherheitslücken beim Verarbeiten von Bildern in AOLs eigenem Grafikformat art auf. Angreifer können art-Bilder so manipulieren, dass sie auf betroffenen Rechnern Schadcode einschleusen. Die Grafiken können auch beliebige andere Dateiendungen haben, sofern sie über <img>-Tags eingebunden sind; die Browser suchen die nötigen Verarbeitungsroutinen eigenständig.
Der Fehler betraf auch den Internet Explorer. Microsoft hat die Lücke jedoch am Juni-Patchday dieses Jahres geschlossen. AOL zieht nun nach und liefert Updates für die Zugangssoftware der 9er-Version aus. Diese sollen automatisch bei der Anmeldung an den Dienst heruntergeladen und installiert werden. Nutzern älterer AOL-Zugangssoftware empfiehlt das Unternehmen, auf Version 9 umzusteigen.
Update: AOL weist in einer Stellungnahme gegenüber heise Security darauf hin, dass der Fehler bereits durch den Microsoft-Patch behoben wurde. Das nun verteilte Upgrade ersetze lediglich einige Grafiken im art-Format, die nach dem Patch nicht mehr dargesetllt wurden, durch neue. Mit Sicherheitsaspekten habe das jedoch nichts zu tun.
Siehe dazu auch:
- Multiple Vendor ART File Heap Corruption Vulnerability, Sicherheitsmeldung von iDefense
