Core Security hat eine Sicherheitsmeldung zu Schwachstellen in AOLs Instant Messenger (AIM) veröffentlicht. Die Chat-Software nutzt zur Darstellung der Nachrichten Microsofts HTML-Bibliothek mshtml.dll und überprüft die eingehenden Daten nicht ausreichend, sodass Angreifer etwa beliebige Befehle auf dem Rechner von AIM-Nutzern ausführen können.
In der Meldung erläutern die Sicherheitsforscher, dass Angreifer eine Nachricht an AIM-Nutzer schicken können, die diese nicht einmal öffnen müssten; schon beim Empfang der Nachricht öffne sich etwa die Eingabeaufforderung, beliebige Befehle seien so ausführbar. Da durch in die Nachricht eingebettete <img>-Tags auch JavaScript ausführbar sei, könnten Angreifer beliebigen JavaScript-Code in der lokalen Zone ausführen, also mit vollen Zugriffsrechten auf den Rechner. Auch das Vortäuschen von Fehlermeldungen mit Eingabeformularen etwa für Benutzernamen und Passwort sollen Beispiele in der Sicherheitsmeldung demonstrieren – damit ließen sich die Zugangsdaten zum AIM-Netz abgreifen.
AOL hat die Lücken in AIM 6.1, 6.2, Pro und Lite der Sicherheitsmeldung zufolge bestätigt und stuft sie als kritisch ein. Inzwischen hätten die AOL-Entwickler auch die serverseitige Filterung der Nachrichten verbessert, laut Core Security kann dennoch JavaScript-Code daran vorbeigeschmuggelt werden. Eine fehlerbereinigte Version will AOL Mitte Oktober veröffentlichen. Bis dahin soll es helfen, die aktuelle Beta-Version von AIM zu nutzen, die für den Fehler nicht anfällig sein soll.
Siehe dazu auch:
* Remote command execution, HTML and JavaScript injection vulnerabilities in AOL´s Instant Messaging software, Sicherheitsmeldung von Core Security
* Download der nicht verwundbaren Beta-Version von AIM
Quelle und Links :
http://www.heise.de/security/news/meldung/96545/Unfreiwillige-Fernwartung-durch-AIM
