Weiteres Yahoo-Messenger-Update
Yahoo muss nach nur einer Woche mit einem Update eine weitere Sicherheitslücke in seiner Messenger-Software schließen.
Eine neue Schwachstelle in Yahoos Messenger ermöglicht Angreifern das Einschmuggeln von Schadcode. Der Hersteller hat nach nur einer Woche ein weiteres Update seiner Software herausgegeben, um die Lücke abzudichten.
In dem fehlerhaften ActiveX-Modul YVerInfo.dll können Pufferüberläufe auftreten, die Angreifer etwa mit manipulierten Webseiten provozieren können. Yahoos Sicherheitsmeldung zufolge ermöglicht die vom Sicherheitsdienstleister iDefense entdeckte Lücke ein unfreiwilliges Abmelden von Chat- oder Messenger-Sitzungen, Abstürze von Software wie dem Internet Explorer oder auch die Ausführung von fremdem Programmcode.
Der Fehler betrifft YVerInfo.dll-Versionen vor der aktuellen 2007.8.27.1. Die ClassID des ActiveX-Moduls lautet {64AA7031-C150-4118-8D31-FD273A2BB22C}. Anwender können dafür entweder das Killbit setzen, damit der Internet Explorer es nicht mehr einbinden kann, oder ActiveX im IE für die Internetzone komplett deaktivieren. Die inzwischen zum Download bereitstehende aktualisierte Fassung des Yahoo Messengers behebt die Schwachstelle ebenfalls.
Siehe dazu auch:
- Yahoo! ActiveX Control Update, Sicherheitsmeldung von Yahoo
- Download der aktualisierten Version des Yahoo Messenger
- Update für den Yahoo Messenger, Meldung auf heise Security vom 24. August 2007
(dmk)
