MSN Messenger lässt sich Code unterschieben
In Microsofts Messenger können Angreifer arglosen Opfern mit Webcam-Sitzungen Schadcode unterschieben.
Nachdem Yahoo bereits Ende vergangener Woche ein ähnliches Leck geschlossen hat, ist nun eine Sicherheitslücke in Microsofts MSN Messenger bekannt geworden, die Angreifer mit Webcam-Sitzungen zum Einschmuggeln von beliebigem Programmcode nutzen können sollen. Informationen über die Schwachstelle wurden wie schon bei der Lücke im Yahoo Messenger vom Team509 veröffentlicht.
Durch Fehler bei der Verarbeitung von präparierten Videodatenströmen kann in Microsofts Messenger ein Pufferüberlauf auftreten, wenn ein Angreifer manipulierte Daten an ein Opfer schickt. Dadurch lässt sich eingeschleuster Schadcode ausführen. Ein potenzielles Opfer muss jedoch zuerst eine Webcam-Sitzungs-Einladung annehmen, damit ein Angreifer die Schwachstelle ausnutzen kann.
Ein Demonstrationsprogramm, das die Sicherheitslücke ausnutzen soll, ist öffentlich verfügbar. Ein Update für die laut dem Sicherheitsdienstleister Secunia betroffenen Versionen 6.x und 7.x des MSN Messenger gibt es bislang jedoch nicht. Nutzer der Software sollten zügig ein Update auf die aktuelle Version 8.1 des inzwischen Windows Live Messenger genannten Programms durchführen oder mit den älteren Versionen keine Einladungen zu Webcam-Sitzungen annehmen.
Siehe dazu auch:
- MSN messenger 7.x (8.0?)VIDEO remote heap overflow auf team509.com (chinesisch)
- MSN Messenger Video Conversation Buffer Overflow Vulnerability von Secunia
- Update für den Yahoo Messenger, Meldung auf heise Security vom 24.08.2007
(dmk)