AOL kämpft mit Messenger-Sicherheit
AOL hat anscheinend die im Jänner entdeckte kritische Sicherheitslücke im AOL Instant Messenger [AIM] nur unzureichend geschlossen und erntet dafür von Sicherheitsexperten harsche Kritik, wobei sogar der Umstieg auf andere Messenger empfohlen wird.
Den Experten von w00w00 Security Development [WSD], die auch schon im Jänner auf das Problem aufmerksam gemacht hatten, ist es jetzt mit einer neuen Methode gelungen, über den AIM auf die PCs beliebiger anderer Nutzer zuzugreifen.
WSD hatte im Jänner den Bug im AIM entdeckt. Dadurch konnte ein Cracker mittels Buffer-Overflow die Kontrolle über den AIM und Windows-PC des Benutzers erlangen. Durch den nicht gesicherten Puffer war es möglich, direkt auf Systemebene mit allen lokalen Rechten zu agieren.
Sicherheitslücke im AOL Instant MessengerTrauriger Befund
"Das jetzt entdeckte Problem ist nahezu identisch mit dem vom Jänner. Das ist traurig. Diese Mal ist es uns über eine andere Methode gelungen, den AOL-Patch zu umgehen", sagte Matt Conover von WSD.
Im Jänner schafften es die Sicherheitsexperten über die "Add game"-Schaltfläche, den AIM und Windows-PC eines anderen Nutzers zu kontrollieren.
Jetzt sei das über einen Befehl gelungen, der über die "Add external Application"-Schaltfläche an einen anderen Nutzer geschickt wurde, sagte Conover.
w00w00 Security DevelopmentNachbessern ungenügend
Wie schon zu Jahresbeginn will der Konzern das Problem dezentral in den Griff kriegen: Eigenen Angaben zufolge ist AOL bereits dabei, die Lücke mit Hilfe eines neuen Filters erneut zu schließen.
Dem WSD erscheint dieses "Flickwerk" allerdings nicht befriedigend: "Wir empfehlen Nutzern, einen Messenger zu verwenden, dessen Anbieter mit Sicherheitsfragen ernsthaft umgeht - und AOL tut das derzeit nicht", meint Conover.