Thema: Zero-Day-Lücke im Yahoo Messenger

[SiLæncer]

Im Yahoo Messenger klafft eine Sicherheitslücke, durch die bösartige Individuen schädlichen Code auf die Rechner von Opfern schleusen können. McAfee berichtet in seinem Sicherheits-Blog von der Zero-Day-Lücke, die Angreifer mit manipulierten Einladungen für Webcam-Sitzungen ausnutzen können.

Der Fehler basiert laut McAfee auf einem Heap-basierten Pufferüberlauf und tritt in der Version 8.1.0.413 des Yahoo Messenger auf. Nähere Details nennt das Unternehmen nicht. Der Antivirenhersteller habe Yahoo über die Lücke informiert. Bis eine aktualisierte Version des Messengers bereitsteht, empfiehlt McAfee, keine Webcam-Einladungen von Unbekannten anzunehmen. Außerdem sollten Administratoren bis dahin in der Firewall den TCP-Port 5100 ausgehend sperren, den der Messenger für Webcam-Sitzungen nutzt.

Quelle : www.heise.de

[SiLæncer]

Für die vor gut einer Woche entdeckte Schwachstelle in Yahoos Messenger, durch die Angreifer mit Einladungen zu Webcam-Sitzungen beliebigen Code einschleusen konnten, hat der Hersteller ein Update herausgegeben. Inzwischen sind einige Details zur Sicherheitslücke bekannt geworden.

Eine Lücke erlaubt das Einschleusen von Schadcode und kann durch präparierte JPEG2000-Datenströme, die Yahoos Messenger für Webcam-Sitzungen einsetzt, ausgenutzt werden. Bei der Verarbeitung manipulierter Datenströme kann ein Pufferüberlauf auftreten. Eine zweite Schwachstelle führt lediglich zum Absturz der Software, wenn Anwender eine Webcam-Sitzungseinladung annehmen.

Die Fehler betreffen die Dateien kdv_v32M.dll vor Version 3.2.0.2 und ywcvwr.dll vor Version 2.0.1.9, die der Yahoo Messenger 8.1.0.413 und frühere Fassungen mitbringen. Inzwischen stellt der Hersteller eine fehlerbereinigte Version zum Download bereit. Nutzer der Software sollten sie so schnell wie möglich einspielen.

Siehe dazu auch:

    * Yahoo! Messenger webcam stream heap overflow, Sicherheitsmeldung des US-CERT
    * Yahoo! Webcam, Änderungsübersicht zum Update von Yahoo
    * Download der aktuellen Version des Yahoo Messenger

Quelle und Links : http://www.heise.de/security/news/meldung/94836/Update-fuer-den-Yahoo-Messenger

[SiLæncer]

Eine neue Schwachstelle in Yahoos Messenger ermöglicht Angreifern das Einschmuggeln von Schadcode. Der Hersteller hat nach nur einer Woche ein weiteres Update seiner Software herausgegeben, um die Lücke abzudichten.

In dem fehlerhaften ActiveX-Modul YVerInfo.dll können Pufferüberläufe auftreten, die Angreifer etwa mit manipulierten Webseiten provozieren können. Yahoos Sicherheitsmeldung zufolge ermöglicht die vom Sicherheitsdienstleister iDefense entdeckte Lücke ein unfreiwilliges Abmelden von Chat- oder Messenger-Sitzungen, Abstürze von Software wie dem Internet Explorer oder auch die Ausführung von fremdem Programmcode.

Der Fehler betrifft YVerInfo.dll-Versionen vor der aktuellen 2007.8.27.1. Die ClassID des ActiveX-Moduls lautet {64AA7031-C150-4118-8D31-FD273A2BB22C}. Anwender können dafür entweder das Killbit setzen, damit der Internet Explorer es nicht mehr einbinden kann, oder ActiveX im IE für die Internetzone komplett deaktivieren. Die inzwischen zum Download bereitstehende aktualisierte Fassung des Yahoo Messengers behebt die Schwachstelle ebenfalls.

Quelle : www.heise.de