Update für den Yahoo Messenger
Durch eine kürzlich entdeckte Sicherheitslücke in der Webcam-Telefonie-Funktion von Yahoos Messenger konnten Angreifer Schadcode auf Rechner ihrer Opfer schleusen. Nun stellt der Hersteller ein Update bereit, um die Lücke zu schließen.
Für die vor gut einer Woche entdeckte Schwachstelle in Yahoos Messenger, durch die Angreifer mit Einladungen zu Webcam-Sitzungen beliebigen Code einschleusen konnten, hat der Hersteller ein Update herausgegeben. Inzwischen sind einige Details zur Sicherheitslücke bekannt geworden.
Eine Lücke erlaubt das Einschleusen von Schadcode und kann durch präparierte JPEG2000-Datenströme, die Yahoos Messenger für Webcam-Sitzungen einsetzt, ausgenutzt werden. Bei der Verarbeitung manipulierter Datenströme kann ein Pufferüberlauf auftreten. Eine zweite Schwachstelle führt lediglich zum Absturz der Software, wenn Anwender eine Webcam-Sitzungseinladung annehmen.
Die Fehler betreffen die Dateien kdv_v32M.dll vor Version 3.2.0.2 und ywcvwr.dll vor Version 2.0.1.9, die der Yahoo Messenger 8.1.0.413 und frühere Fassungen mitbringen. Inzwischen stellt der Hersteller eine fehlerbereinigte Version zum Download bereit. Nutzer der Software sollten sie so schnell wie möglich einspielen.
Siehe dazu auch:
- Zero-Day-Lücke im Yahoo Messenger, Meldung von heise Security vom 16.08.2007
- Yahoo! Messenger webcam stream heap overflow, Sicherheitsmeldung des US-CERT
- Yahoo! Webcam, Änderungsübersicht zum Update von Yahoo
- Download der aktuellen Version des Yahoo Messenger
(dmk)
