Thema: Live Messenger ...

[SiLæncer]

Angreifer können beliebigen Programmcode einschleusen und ausführen

Eine knappe Woche, nachdem Microsoft den Instant-Messaging-Client Windows Live Messenger als Final-Version veröffentlicht hat, wurde bereits ein schweres Sicherheitsloch darin gefunden. Mit einer präparierten Kontaktlistendatei kann ein Angreifer beliebigen Programmcode auf ein fremdes System einschleusen und dort ausführen.

Öffnet ein Opfer eine entsprechend manipulierte Kontaktlistendatei (.ctt) mit dem Windows Live Messenger, verursacht das einen Heap Overflow und Programmcode kann ausgeführt werden, berichtet Security Tracker. Ein Beispiel-Code illustriert ein solches Scenario.

Bislang liegt kein Patch für den Windows Live Messenger vor, um das Sicherheitsloch zu schließen. Daher ist beim Empfang von Kontaktlistendateien per Windows Live Messenger derzeit Vorsicht geboten.

Quelle und Links : http://www.golem.de/0606/46122.html

[SiLæncer]

Was auf den ersten Blick wie eine kritische Lücke im Windows Live Messenger 8.0 aussah, entpuppte sich bei näherer Analyse nur als Möglichkeit, die Anwendung zum Absturz zu bringen. Das zumindest behauptet Michele Cicciotti in einer Antwort auf der Sicherheitsmailing-Liste Full Disclosure zu einer Veröffentlichung einer kritischen Lücke im Live Messenger.

Demnach handelt es sich nicht um einen Heap Overflow, über den sich Code einschleusen und starten lässt, sondern um eine unbehandelte Exception, die beim Einlesen präparierter Kontaktlisten (*.ctt) auftritt. In der Folge würden aber keine Speicherbereiche überschrieben, die Anwendung würde nur eine Exception auslösen, die dann zum Absturz führe.

Der ursprüngliche Hinweis auf den Fehler im Messenger 8.0 war ohnehin recht kurz gefasst und verlinkte nur auf einen Proof-of-Concept-Exploit, mit der Überschrift "Messenger 8.0 Heap Overflow". Zwar führt auch der Exploit nur zum Absturz, trotzdem behauptete die Sicherheitsdatenbank Securitytracker, das Problem könne für "Remote Code Execution" genutzt werden. Securityfocus hingegen beschreibt wie auch Michele Cicciotti nur den Absturz des Live Messengers.

Obwohl sich der Fehler nur für DoS-Attacken ausnutzen lässt, ist das Problem ärgerlich. Einen Patch gibt es derzeit aber noch nicht. Anwender sollten nur vertrauenswürdige Kontaktlisten importieren.

Siehe dazu auch:

    * Windows Live Messenger 8.0 ( Contact List *.ctt ) Heap Overflow, Hinweis auf Exploit auf securitydot
    * Analyse des Exploits, von Michele Cicciotti
    * Windows Live Messenger Contact List Heap Overflow, Fehlerbeschreibung von Securitytracker
    * Microsoft Windows Live Messenger Contact List Processing Remote Denial of Service Vulnerability, Fehlerbeschreibung von Securityfocus

Quelle und Links : http://www.heise.de/security/news/meldung/74755

[SiLæncer]

Security-Experten warnen vor Werbung für eine angebliche Sicherheitsapplikation, die kürzlich in Microsofts Instant Messaging-Programm (IM) aufgetaucht ist und falsche oder übertrieben dargestellte Bedrohungen meldet.

Nach Angaben von Symantec warnt das als "Winfixer" bekannte Programm fälschlicherweise, dass ein Rechner mit bösartiger Software infiziert ist. Der Nutzer wird daraufhin zum Kauf eines Programms aufgefordert, das die vermeintliche Malware entfernen soll. Laut Sandi Hardmeier, die Microsoft auf das Problem aufmerksam gemacht hat, meldet Winfixer jedoch häufig völlig harmlose Dateien. "Es nutzt falsche Positivmeldungen und ist damit im Prinzip Betrug", erklärt Hardmeier, der die Gates-Company aufgrund ihrer Expertise bezüglich des Internet Explorer (IE) den Titel "Most Valued Professional" verliehen hat.

Andere Sicherheitsunternehmen wie Sophos und McAfee stufen Winfixer als "potenziell unerwünschte Applikation" ein. Laut Hardmeier versucht diese auf zweierlei Weise, den Nutzer zur Installation des Programms zu bewegen: Zum einen über ein Pop-up-Fenster, das dem User anbietet, seinen Computer auf Probleme zu untersuchen. Je nach IE-Version versuche Winfixer dabei, sich über ein ActiveX-Control auf den Rechner zu laden.

Alternativ werde ein Werbe-Banner eingesetzt, das der User anklicken müsste, um zu einer Web-Seite zu gelangen, auf der dann "Free PC-Secure" angeboten wird. Dabei handelt es sich um eine Software, die von den meisten Sicherheitslösungen als "Winfixer" erkannt wird. Sie soll aber auch unter anderen Namen - etwa "ErrorSafe" und "DriveCleaner" - laufen.

Mitterweile habe Microsoft die in der Kontaktliste seines "Windows Live Messenger" (ehemals MSN-Messenger) aufgetauchten Banner offenbar entfernt, so Hardmeier. Grundsätzlich sei der Softwarekonzern nicht schlecht darin, zu verhindern, dass Spionageprogramme in seinem Windows Live Manager mittels Banner beworben werden, schreibt sie in ihrem Blog " Spyware Sucks ". Winfixer habe sich allerdings als tückisch erwiesen. Zu vermuten sei, dass sich hierbei Organisationen in Werbenetzen falsch registriert haben und dann - anstelle der offiziell vereinbarten Werbung - auf ihren eigenen Servern gehostete Winfixer-Anzeigen geliefert haben.

Quelle : www.pcwelt.de

[SiLæncer]

Anwendern des Windows Live Messenger von Microsoft wurde Banner-Werbung für fragwürdige Software eingeblendet. Dabei führte das Banner im Messenger den Anwender auf eine Webseite der vermeintlichen Antisypware-Anwendung SystemDoctor 2006. Auch Besucher von MSN-Seiten sollen das Banner präsentiert bekommen haben. In weiteren Werbebannern wurde dann versucht, den Besucher mit Meldungen zu irritieren, auf seinem Rechner sei Schadsoftware gefunden worden – eine bekannte Masche, um Anwender zum Download und zur Installation von dubioser Software zu bewegen.

Im vorliegenden Fälle ging das Programm dem Anwender mit weiteren Warnungen und der Aufforderung, die Software für 40 Dollar zu kaufen, auf die Nerven. Microsoft hat das Werbebanner nach eigenen Angaben entfernt und entschuldigte sich in einer Mail für den Vorfall. Man wolle den Prozess zur Prüfung der eingstellten Werbung verbessern, damit dies nicht noch einmal passiere.

Quelle : www.heise.de

[SiLæncer]

Der US-Software-Konzern Microsoft geht in seinem Heimatstaat Washington juristisch gegen zwei Anbieter von Klingeltönen und Handy-Games vor, die auch in Deutschland aktiv sind. Den Betreibern wird vorgeworfen, Nutzer des Live-Messenger-Dienstes auf vermeintliche Service-Webseiten von Microsoft gelockt zu haben, um dort ihre Log-in-Daten abzugreifen. Fiel jemand auf die Phishing-Attacke herein, hätten die Beklagten die Zugangsdaten gespeichert und später von diesen Accounts aus Instant Messages mit Werbung an sämtliche Kontakte des Nutzers verschickt.

Laut Klageschrift, die beim King County Superior Court in Seattle eingereicht wurde, handelt es sich bei den Firmen um Funmobile und Mobilefunster, hinter denen ein Brüderpaar aus Hongkong stehen soll. Microsoft wirft den Beklagten vor, millionenfach Spam über den Live-Messenger-Dienst verschickt und damit IM-Kunden belästigt zu haben. Das Unternehmen fordert Unterlassung sowie Schadenersatz und beruft sich dabei auf den Computer Fraud an Abuse Act, den CAN-Spam Act sowie Verbraucherschutz- und Anti-Spam-Gesetze des Staates Washington.

Quelle : www.heise.de

[SiLæncer]

Offenbar ist auch Microsofts Live Messenger von den kritischen ATL-Sicherheitslücken betroffen, die Microsoft kürzlich mit Eil-Patches in den Bibliotheken der Entwicklungsumgebung Visual Studio beseitigt und dann im Internet Explorer verriegelt hatte.

Um dieses Sicherheitsrisiko aus der Welt zu schaffen, sollen die Nutzer von den Versionen 8.1, 8.5 und 14.0 nun auf aktuellere, fehlerbereinigte Versionen umsteigen. Das über eine Nachricht angebotene Update ist zunächst optional, soll aber ab Mitte September für 8.1 und 8.5 und ab Ende Oktober dann auch für die Version 14 verpflichtend sein. Wer das Update nicht durchführt, wird sich nicht mehr beim Messenger anmelden können, erklärt das Windows Live Messenger Team in einem Blog-Eintrag.

Das Sicherheitsproblem wird ausgelöst von Hilfsbibliotheken zum Erstellen von ActiveX-Controls, die Microsoft mit Visual Studio ausgeliefert hat. Wer seine Software damit übersetzt hat, hat ein Problem – genauer gesagt, die Anwender seiner Software. Es steht zu hoffen, dass außer Microsoft auch andere Softwarehersteller möglichst schnell ihre Produkte überprüfen und gegebenenfalls ausbessern, wie es etwa Adobe und Cisco bereits getan haben.

Quelle und Links : http://www.heise.de/newsticker/Zwangs-Update-fuer-Microsoft-Live-Messenger--/meldung/144615

[SiLæncer]

Eine Schwachstelle in der Active-X-Komponente von Microsoft Live Messenger können Angreifer für gezielte Denial-of-Service Attacken gegen den Messengerdienst nutzen.

Laut einer Meldung von Security Reason tritt die Schwachstelle in Version 14.0.8089.726 auf. Sie betrifft die Betriebssysteme Windows Vista und Windows 7. Nach dem Bericht ist der Live Messenger unter Windows XP nicht betroffen.
Der Angriff setzt die Manipulation einer Website voraus, auf die das Opfer gelockt wird. Wird die entsprechende „classid“ in Kombination mit einem VBScript String ausgeführt, führt dies zum Absturz des Live Messengers. Der Proof-of-Concept wurde als reiner Denial-of-Service Entwurf dargestellt. Unter Umständen sind bei einer näheren Analyse des Angriffsvektors jedoch auch Code-Einspeisungen möglich.

Quelle : www.tecchannel.de