Sicherheitsloch in AOL Instant Messenger

AOLs Instant Messenger (AIM) enthält mehrere Fehler. Sie können im Extremfall dazu führen, dass externe Angreifer die Kontrolle über einen Rechner übernehmen, auf dem das Programm installiert ist. Dazu ist es nicht einmal nötig, dass der Benutzer das Programm selbst startet.

AIM registriert im System das Protokoll "aim", so dass ein URL, der mit "aim:" beginnt, direkt den Messenger startet. Die Sicherheitsexperten von @stake zeigen in einem Sicherheits-Advisory zwei sogenannte Buffer-Overflows auf, die dazu führen können, dass Angreifer beliebigen Code auf dem betroffenen Rechner ausführen. Dazu überschreiben sie mit speziellen, überlangen Eingaben gezielt die Grenzen interner Speicherbereiche des Programms. Dies kann zum Beispiel durch spezielle URLs in Emails oder auf Web-Sites geschehen.

Die Autoren des Advisories vergessen geflissentlich zu erwähnen, dass das Problem bereits im März von Joe Testa auf der Sicherheits-Mailingliste NT-Butraq veröffentlicht wurde – mit Grüssen an @stake. Joe Testa hat nach eigenen Angaben bereits damals auch AOL unterrichtet.

AOL stellt seit einigen Tagen eine neue AIM-Version (4.3.2229) bereit, in der der Fehler behoben ist – weist aber nicht auf das Sicherheitsproblem hin. Zwar ist es relativ schwierig, URLs zu erstellen, die tatsächlich Schaden anrichten; jedoch ist damit zu rechnen, dass vorgefertigte "Exploits" demnächst in Umlauf kommen. Deshalb sollten AIM-Benutzer möglichst bald auf die neue Version umsteigen. Wer noch eine ältere Version installiert hat, kann an den folgenden Links überprüfen, ob er betroffen ist.

Achtung: Ein Klick auf folgende Links startet AIM und führt bei verwundbaren Versionen zum Programmabsturz (ohne Auto-Login erst nach einem Mausklick auf "Login"). Dieser kann auch die Stabilität des entsprechenden Systems in Mitleidenschaft ziehen. Man sollte daher, bevor man den Test durchführt, alle ungesicherten Daten speichern.

[aim:goim?AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA+-restart AIM Demo 1]

[aim:buddyicon?screenname=abob&groupname=asdf&Src=http://localhost/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AIM Demo 2] (ju)