AOL: Buddy übernimmt den Rechner

Ein Fehler in AOLs Software gefährdet die PCs von Anwendern, auch wenn diese gar kein AOL benutzen. Nach Angaben des Sicherheitsdienstleisters TippingPoint steckt im ActiveX-Control AOL SuperBuddy eine kritische Lücke, mit der ein Angreifer mittels einer manipulierten Webseite die Kontrolle über einen Rechner übernehmen kann, sofern das Opfer die Seite mit dem Internet Explorer besucht. Über eine Lücke im Control, mit dem sich animierte und tönende Icons einbinden lassen, soll es möglich sein, Code in den Rechner zu übertragen und zu starten. Der Fehler wurde in der America Online 9.0 Security Edition gefunden. AOL hat am 29. März ein Update bereitgestellt, das die Lücke schließt, sobald man sich mit AOL verbindet. Informationen über das Problem soll der Anbieter bereits am 18. Juli 2006 erhalten haben.

TippingPoint weist darauf hin, dass viele PCs, darunter auch solche von Dell und Hewlett Packard, mit vorinstallierter AOL-Software ausgeliefert werden. Da viele Anwender aber andere Dienste statt AOL benutzen, wird das Update nie installiert: Das verwundbare Control verbleibt weiterhin auf dem PC. Betroffene Anwender können das Control Sb.SuperBuddy.1 manuell löschen oder das Kill-Bit setzen, um zu verhindern, dass das Control geladen werden kann. Nähere Angaben dazu macht Tipping-Point in seinem Fehlerbericht.

Schon Anfang Dezember und Ende Oktober 2006 musste AOL Sicherheitslücken in ActiveX-Controls seiner Software schließen.

Siehe dazu auch:

• America Online SuperBuddy ActiveX Control Code Execution Vulnerability, Fehlerbericht von TippingPoint

(dab)