Unsicheres ActiveX-Modul im Yahoo-Messenger
Ein ActiveX-Modul, das der Yahoo-Messenger installiert, enthält eine Sicherheitslücke, durch die Angreifer mit manipulierten Webseiten beliebigen Code auf betroffenen Rechnern ausführen können.
Der Yahoo-Messenger installiert ein ActiveX-Modul, das vom Internet Explorer eingebettet werden kann und in dem eine SicherheitslĂĽcke das Einschleusen von beliebigem Programmcode erlaubt. Yahoo stellt ein Update bereit, um die LĂĽcke zu schlieĂźen.
Die von der Zero Day Initiative gemeldete SicherheitslĂĽcke betrifft das ActiveX-Modul Yahoo.AudioConf, das von der Bibliothek yacscom.dll bereitgestellt wird. Bindet eine Webseite, die ein Yahoo-Messenger-Nutzer besucht, das Modul mit der CLSID 85A4A99C-8C3D-499E-A386-E0743DFF8FB7 ein und ĂĽbergibt sehr groĂźe Werte als Parameter fĂĽr socksHostname und hostname, tritt ein PufferĂĽberlauf auf. Dabei kann eingeschmuggelter Code ausgefĂĽhrt werden.
Yahoo hat die Messenger-Software stillschweigend aktualisiert, um den Fehler zu beheben. Anwender, die den Messenger vor dem 13. März 2007 heruntergeladen haben, sollten die Software jetzt zügig aktualisieren.
Siehe dazu auch:
- Yahoo! Messenger AudioConf ActiveX Control Buffer Overflow, Sicherheitsmeldung der Zero Day Initiative
- Yahoo! ActiveX Audio Conferencing Update, Informationen zum Update von Yahoo
(dmk)
