Sicherheitslücke im AOL Instant Messenger
Die Mitglieder der unabhängigen Forschung-Sicherheitsgruppe w00w00 Security Developement haben heute vor einer Sicherheitslücke in der aktuellen stabilen Version des AOL Instant Messengers [4.7.2480] sowie der Beta-Version [4.8.2616] gewarnt. Die Versionen bis zurück zu 4.3 waren ebenfalls betroffen.
Der Bug betraf allerdings nur Windows-Versionen des AOL IM. Als vorläufige Lösung sollten die Benutzer ihren Messenger so konfigurieren, dass nur Teilnehmer auf der eigenen Buddy-Liste Kontakt aufnehmen können.
AOL hat nach eigener Darstellung die Sicherheitslücke inzwischen beseitigt. AOL-Sprecher Andrew Weinstein sagte, seines Wissens nach sei die '"als Sicherheitslücke erkannte Option niemals benutzt" worden.
Buffer-Overflow-Angriff
Nach Angaben von w00w00 wurde die Sicherheitslücke in der
Spiel-Funktion, die es erlaubt Online-Spiele mit den Buddys über den
IM zu spielen, durch einen ungesicherten Buffer verursacht. Der
Buffer-Overflow-Angriff konnte so gestaltet werden, dass das Opfer
den Angriff nicht erkennen oder zurückverfolgen konnte.
w00w00 Security DevelopementFeindliche Übernahme
Der Fehler erlaubte es Angreifern, den Computer des Opfers zu übernehmen und konnte für die Verbreitung von Würmern über die "Buddy-List" des AOL IM genutzt werden.