Thema: Kritische Sicherheitslücken im Yahoo-Messenger

[SiLæncer]

Yahoos Messenger installiert ActiveX-Module, die zur Unterstützung von Webcams dienen. In diesen Modulen können Angreifer Pufferüberläufe provozieren und somit Schadcode einschleusen. Ein Update von Yahoo steht noch aus.

Die fehlerhaften Komponenten sind das ActiveX-Modul zum Webcam-Upload ywcupl.dll sowie der Webcam-Viewer ywcvwr.dll. Im Upload-Modul kann die Übergabe einer sehr langen Zeichenkette als Wert für das Server-Feld beim Aufruf der Funktion send() zu einem Pufferüberlauf führen, in der Viewer-Komponente beim Aufruf der Funktion receive(). Im Internet kursieren bereits Exploits für die Schwachstellen.

Betroffen ist der Yahoo-Messenger in Version 8.1.0.249 und möglicherweise vorherige. Ein Update ist bislang noch nicht verfügbar. Nutzer der Software sollten daher die Killbits für die CLSIDs {DCE2F8B1-A520-11D4-8FD0-00D0B7730277} sowie {9D39223E-AE8E-11D4-8FD3-00D0B7730277} setzen, um sich vor möglichen Angriffen zu schützen. Microsoft erläutert in einem Knowledgebase-Artikel, wie man Killbits für ActiveX-Module einrichtet.

Siehe dazu auch:

    * 2nd Yahoo 0day ActiveX Exploit, Sicherheitsmeldung auf Full Disclosure -> http://archives.neohapsis.com/archives/fulldisclosure/2007-06/0133.html

Quelle : www.heise.de

[berti]

und für die faulen:

der MS artikel residiert unter http://support.microsoft.com/kb/240797

[SiLæncer]

Die vor kurzem bekannt gewordenen Sicherheitslücken im Yahoo Messenger schließt der Hersteller mit einer neuen Programmversion. Nutzer der Software sollten sie schnellstmöglich einspielen: Der Autor der ersten beiden Exploits hat zwischenzeitlich verfeinerte und korrigierte Fassungen veröffentlicht, mit denen etwa Skriptkiddies mit wenigen Mausklicks bösartige Webseiten zusammenbasteln könnten.

Durch Sicherheitslücken in den ActiveX-Modulen zur Webcam-Unterstützung konnten Angreifer beispielsweise mit manipulierten Webseiten oder E-Mails fremden Programmcode auf die Rechner betroffener Benutzer schleusen. Die aktualisierte Programmversion von Yahoo ersetzt die fehlerhaften ActiveX-Module in den Dateien ywcupl.dll und ywcvwr.dll. Die Bibliotheken enthalten den Fix ab Version 2.0.1.4. Beim Anmelden am Yahoo-Dienst will das Unternehmen für die nächsten Wochen einen Hinweis auf die neue Version geben und den Anwendern zum Update raten.

Siehe dazu auch:

    * Download des aktualisierten Yahoo Messenger
    * Yahoo! Webcam ActiveX Controls, Sicherheitsmeldung von Yahoo
    * Überarbeitete Exploits von Danny auf Full Disclosure

Quelle und Links : http://www.heise.de/newsticker/meldung/90878