AOL: Sicherheitslücke im AIM bald geschlossen

AOL hat Berichte über eine Sicherheitslücke im AOL Instant Messenger (AIM) bestätigt und will diese bis Ende der Woche durch einen Patch schließen. Bislang kann ein Cracker mittels Buffer Overflow noch die Kontrolle über den AIM und Windows-PC des Benutzers erlangen.

Über Buffer Overflow ist es möglich, direkt auf Systemebene mit allen lokalen Rechten zu agieren. Der Angreifer könnte damit etwa Webseiten ändern, Software auf den Server laden oder Letzteren umkonfigurieren. Unabhängige Sicherheitsexperten von w00w00 Security Development (WSD) hatten die Lücke am gestrigen Mittwoch entdeckt.

Der Bug tritt in den Versionen 4.7 und 4.8 Beta ausschließlich auf Windows-Systemen auf. Laut w00w00 handelt es sich um die AIM-Versionen 4.7.2480 sowie die Beta-Version 4.8.2616. Neben der Kontrolle des PCs sei dadurch auch die Verbreitung gefährlicher Würmer möglich, die Code Red oder Nimda ähneln.

AOL hat die Sicherheitslücke jetzt bestätigt. Den Angaben zufolge ist bislang aber noch kein Fall bekannt, der dieses Leck ausnutzt. Das Unternehmen will bis Ende dieser Woche auf seinem Messenging-Server einen Patch installieren, der die Lücke schließt. Ein Download des Patches durch die Nutzer sei nicht erforderlich, hieß es weiter.

WSD empfiehlt, die Lücke bis zum Erscheinen des Patches durch einen AIM-Filter oder durch eine spezielle Konfiguration der Buddyliste zu schließen. Letzteres bewirkt, dass die Kontaktaufnahme nur noch durch vertraute Nutzer möglich ist, die in der eigenen Buddyliste stehen. Einen Test des AIM finden Sie hier. (jma)