AIM: Neuer Weg durch altes Sicherheitsloch

AOL hat anscheinend die im Januar entdeckte Sicherheitslücke im AOL Instant Messenger (AIM) nur unzureichend geschlossen. Den Sicherheitsexperten von w00w00 Security Development (WSD) ist es US-Medienberichten zufolge mit einer neuen Methode gelungen, über den AIM auf den PC anderer Nutzer zuzugreifen.

Wie berichtet, hatte WSD im Januar den Bug im AIM entdeckt. Dadurch konnte ein Cracker mittels Buffer Overflow die Kontrolle über den AIM und Windows-PC des Benutzers erlangen. Durch den nicht gesicherten Puffer war es möglich, direkt auf Systemebene mit allen lokalen Rechten zu agieren.

"Das jetzt entdeckte Problem ist nahezu identisch mit dem vom Januar. Das ist traurig. Diese Mal ist es uns über eine andere Methode gelungen, den AOL-Patch zu umgehen", sagte Matt Conover von WSD. Im Januar schafften es die Sicherheitsexperten über die "Add game"-Schaltfläche, den AIM und Windows-PC eines anderen Nutzers zu kontrollieren. Jetzt sei dies über einen Befehl gelungen, der über die "Add external Application"-Schaltfläche an einen anderen Nutzer geschickt wurde, sagte Conover.

Seinen Angaben zufolge hat AOL die Lücke mit Hilfe eines neuen Filters erneut geschlossen. Einen Test des AIM finden Sie hier. (jma)