Unfreiwillige Fernwartung durch AIM [Update]

Core Security hat eine Sicherheitsmeldung zu Schwachstellen in AOLs Instant Messenger (AIM) veröffentlicht. Die Chat-Software nutzt zur Darstellung der Nachrichten Microsofts HTML-Bibliothek mshtml.dll und überprüft die eingehenden Daten nicht ausreichend, sodass Angreifer etwa beliebige Befehle auf dem Rechner von AIM-Nutzern ausführen können.

In der Meldung erläutern die Sicherheitsforscher, dass Angreifer eine Nachricht an AIM-Nutzer schicken können, die diese nicht einmal öffnen müssten; schon beim Empfang der Nachricht öffne sich etwa die Eingabeaufforderung, beliebige Befehle seien so ausführbar. Da durch in die Nachricht eingebettete <img>-Tags auch JavaScript ausführbar sei, könnten Angreifer beliebigen JavaScript-Code in der lokalen Zone ausführen, also mit vollen Zugriffsrechten auf den Rechner. Auch das Vortäuschen von Fehlermeldungen mit Eingabeformularen etwa für Benutzernamen und Passwort sollen Beispiele in der Sicherheitsmeldung demonstrieren – damit ließen sich die Zugangsdaten zum AIM-Netz abgreifen.

AOL hat die Lücken in AIM 6.1, 6.2, Pro und Lite der Sicherheitsmeldung zufolge bestätigt und stuft sie als kritisch ein. Inzwischen hätten die AOL-Entwickler auch die serverseitige Filterung der Nachrichten verbessert, laut Core Security kann dennoch JavaScript-Code daran vorbeigeschmuggelt werden. Eine fehlerbereinigte Version will AOL Mitte Oktober veröffentlichen. Bis dahin soll es helfen, die aktuelle Beta-Version von AIM zu nutzen, die für den Fehler nicht anfällig sein soll.

Der Sicherheitsforscher Aviv Raff meldet in seinem Blog, dass entgegen der Angaben von Core Security auch die Beta-Version des AIM den Fehler enthält. Daher sollten AIM-Nutzer bis zur Verfügbarkeit der aktualisierten Fassung die Software nicht nutzen oder gegebenenfalls eine alternative Software wie Miranda-IM einsetzen.

Siehe dazu auch: