[HaBo]

XLoGiC · 03.01.02, 03:55

Laut einem Advisory von w00w00 Security Developement (WSD) weisen die aktuelle Version des AOL Instant Messenger (AIM 4.7.2480) sowie die neue Beta-Version (4.8.2616) ein Sicherheitsloch auf, durch das ein Angreifer beliebige Kommandos ausführen kann.

Die Gefahr besteht in einem Buffer Overflow, der laut WSD so ausgenutzt werden kann, dass das Opfer den Angriff weder mitbekommt noch eine Chance hat, ihn zu blockieren. Der "Payload" des Shell-Codes könne mehrere tausend Bytes lang sein, wodurch sehr gefährliche und kreative Angriffe möglich sind.

Die Entdecker der Sicherheitslücke haben nach eigenen Angaben AOL informiert, jedoch keine Antwort erhalten. Einen Patch stellt WSD nicht bereit, "weil es illegal ist, Reverse-Engineering bei AIM zu betreiben". Jedoch empfehlen sie als temporäre Abhilfe entweder den AIM-Filter von Robbie Saunders oder eine restriktive Konfiguration der Buddyliste, bei der die Kontaktaufnahme nur durch vertrauenswürdige User möglich ist -- also nur durch Personen, die auf der eigenen Buddyliste stehen.

Flou · 03.01.02, 11:33

Hab noch eine Diskussion aus einer Mailingliste über den AIM-Bug gefunden :

AIM addendum:
Before I get too many more questions about these issues, let me clarify a
few things:
1. This vulnerable affects all AIM versions as far back as 4.3 (this is
the farthest one back I've checked). I don't know if it affects the inline
AIM used with Netscape. If it supports game requests, probably. Otherwise,
it won't.

2. A temporary solution to this vulnerability is:
1. Go to your Preferences
2. Go to the Privacy section
3. Click "Allow only users on my Buddy List" under "who can contact me"

This will disable the vulnerability because you will appear signed off to
anyone not in your buddy 3.

3. The libfaim I used is the latest available from
http://jgo.local.net/libfaim. Look at the Makefile in
http://www.w00w00.org/files/w00aimexp/Makefile. I didn't find it necessary
to change anything to build. Once libfaim is installed, reference the
libfaim headers files by -I/path/to/headers (probably
/usr/local/include/faim).

Re AIM addendum:
The temporary solution you provide would only protect you so long as all
the buddies on your list were not compromised. As soon as one buddy is
compromised, then you are vulnerable *through* that buddy. Or am I not
clearly understanding this exploit?

Re AIM addendum:
Yes, which is why in the original advisory we recommended AIM filter be
installed. This will block the attack from anyone. So only allowing your
buddies to contact you in addition to installing AIM filter will keep you
secure until a new version of AIM comes out.

Gruß, Odin

Anzeige

- Anzeige -

STeFaN · 03.01.02, 23:26

Guten Abend,

Hier nochmal was in deutsch.

Gruss Stefan

NACHTRAG: Lücke im AIM ist geschlossen!

AOL hat auf seinen Messenging-Servern den angekündigten Patch installiert und damit das vor wenigen Tagen entdeckte Sicherheitsleck im AOL Instant Messenger (AIM) geschlossen. Die Anwender brauchen daher kein Bugfix zu installieren.

Laut AOL-Sprecher Andrew Weinstein ist dem Unternehmen kein Fall bekannt, der dieses Sicherheitsleck ausnutzt. Wie berichtet, hätte ein Hacker mittels Buffer Overflow die Kontrolle über den AIM und Windows-PC des Benutzers erlangen können.

Über einen gezielt eingeleiteten Buffer Overflow ist es möglich, direkt auf Systemebene mit allen lokalen Rechten zu agieren. Der Angreifer könnte damit etwa Webseiten ändern, Software auf den Server laden oder letzteren umkonfigurieren. Unabhängige Sicherheitsexperten von w00w00 Security Development ( WSD) hatten die Lücke am Mittwoch dieser Woche entdeckt.

Anzeige

- Anzeige -

03.01.02, 03:55	#1 (permalink)
XLoGiC Registriert seit: 03.10.01 Likes: 0	Kritische Sicherheitslücke im AOL Instant Messenger Anzeige Laut einem Advisory von w00w00 Security Developement (WSD) weisen die aktuelle Version des AOL Instant Messenger (AIM 4.7.2480) sowie die neue Beta-Version (4.8.2616) ein Sicherheitsloch auf, durch das ein Angreifer beliebige Kommandos ausführen kann. Die Gefahr besteht in einem Buffer Overflow, der laut WSD so ausgenutzt werden kann, dass das Opfer den Angriff weder mitbekommt noch eine Chance hat, ihn zu blockieren. Der "Payload" des Shell-Codes könne mehrere tausend Bytes lang sein, wodurch sehr gefährliche und kreative Angriffe möglich sind. Die Entdecker der Sicherheitslücke haben nach eigenen Angaben AOL informiert, jedoch keine Antwort erhalten. Einen Patch stellt WSD nicht bereit, "weil es illegal ist, Reverse-Engineering bei AIM zu betreiben". Jedoch empfehlen sie als temporäre Abhilfe entweder den AIM-Filter von Robbie Saunders oder eine restriktive Konfiguration der Buddyliste, bei der die Kontaktaufnahme nur durch vertrauenswürdige User möglich ist -- also nur durch Personen, die auf der eigenen Buddyliste stehen.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Kritische Sicherheitslücke in Linux: wunderbar_emporium	Athelstan	News & Ankündigungen	19	18.08.09 16:05
Instant Messenger (HitListe)	mayer12	Downloads	13	09.07.06 15:10
Div. Instant Messenger gehen ständig offline.	flexo1	Applikationen	3	17.10.05 21:31
Instant Messenger >Invisible<	m@ster?y?	Applikationen	2	23.02.05 20:41

03.01.02, 11:33	#2 (permalink)
Flou Senior Member Registriert seit: 02.10.01 Likes: 0	Hab noch eine Diskussion aus einer Mailingliste über den AIM-Bug gefunden : AIM addendum: Before I get too many more questions about these issues, let me clarify a few things: 1. This vulnerable affects all AIM versions as far back as 4.3 (this is the farthest one back I've checked). I don't know if it affects the inline AIM used with Netscape. If it supports game requests, probably. Otherwise, it won't. 2. A temporary solution to this vulnerability is: 1. Go to your Preferences 2. Go to the Privacy section 3. Click "Allow only users on my Buddy List" under "who can contact me" This will disable the vulnerability because you will appear signed off to anyone not in your buddy 3. 3. The libfaim I used is the latest available from http://jgo.local.net/libfaim. Look at the Makefile in http://www.w00w00.org/files/w00aimexp/Makefile. I didn't find it necessary to change anything to build. Once libfaim is installed, reference the libfaim headers files by -I/path/to/headers (probably /usr/local/include/faim). Re AIM addendum: The temporary solution you provide would only protect you so long as all the buddies on your list were not compromised. As soon as one buddy is compromised, then you are vulnerable through that buddy. Or am I not clearly understanding this exploit? Re AIM addendum: Yes, which is why in the original advisory we recommended AIM filter be installed. This will block the attack from anyone. So only allowing your buddies to contact you in addition to installing AIM filter will keep you secure until a new version of AIM comes out. Gruß, Odin

03.01.02, 23:26	#3 (permalink)
STeFaN Registriert seit: 02.10.01 Likes: 0	Guten Abend, Hier nochmal was in deutsch. Gruss Stefan NACHTRAG: Lücke im AIM ist geschlossen! AOL hat auf seinen Messenging-Servern den angekündigten Patch installiert und damit das vor wenigen Tagen entdeckte Sicherheitsleck im AOL Instant Messenger (AIM) geschlossen. Die Anwender brauchen daher kein Bugfix zu installieren. Laut AOL-Sprecher Andrew Weinstein ist dem Unternehmen kein Fall bekannt, der dieses Sicherheitsleck ausnutzt. Wie berichtet, hätte ein Hacker mittels Buffer Overflow die Kontrolle über den AIM und Windows-PC des Benutzers erlangen können. Über einen gezielt eingeleiteten Buffer Overflow ist es möglich, direkt auf Systemebene mit allen lokalen Rechten zu agieren. Der Angreifer könnte damit etwa Webseiten ändern, Software auf den Server laden oder letzteren umkonfigurieren. Unabhängige Sicherheitsexperten von w00w00 Security Development ( WSD) hatten die Lücke am Mittwoch dieser Woche entdeckt.

[HaBo]

Kritische Sicherheitslücke im AOL Instant Messenger