Kritische Sicherheitslücke im AOL Instant Messenger

Laut einem Advisory von w00w00 Security Developement (WSD) weisen die aktuelle Version des AOL Instant Messenger (AIM 4.7.2480) sowie die neue Beta-Version (4.8.2616) ein Sicherheitsloch auf, durch das ein Angreifer beliebige Kommandos ausführen kann.

Die Gefahr besteht in einem Buffer Overflow, der laut WSD so ausgenutzt werden kann, dass das Opfer den Angriff weder mitbekommt noch eine Chance hat, ihn zu blockieren. Der "Payload" des Shell-Codes könne mehrere tausend Bytes lang sein, wodurch sehr gefährliche und kreative Angriffe möglich sind.

Die Entdecker der Sicherheitslücke haben nach eigenen Angaben AOL informiert, jedoch keine Antwort erhalten. Einen Patch stellt WSD nicht bereit, "weil es illegal ist, Reverse-Engineering bei AIM zu betreiben". Jedoch empfehlen sie als temporäre Abhilfe entweder den AIM-Filter von Robbie Saunders oder eine restriktive Konfiguration der Buddyliste, bei der die Kontaktaufnahme nur durch vertrauenswürdige User möglich ist -- also nur durch Personen, die auf der eigenen Buddyliste stehen.
 
Hab noch eine Diskussion aus einer Mailingliste über den AIM-Bug gefunden :

AIM addendum:
Before I get too many more questions about these issues, let me clarify a
few things:
1. This vulnerable affects all AIM versions as far back as 4.3 (this is
the farthest one back I've checked). I don't know if it affects the inline
AIM used with Netscape. If it supports game requests, probably. Otherwise,
it won't.

2. A temporary solution to this vulnerability is:
1. Go to your Preferences
2. Go to the Privacy section
3. Click "Allow only users on my Buddy List" under "who can contact me"

This will disable the vulnerability because you will appear signed off to
anyone not in your buddy 3.

3. The libfaim I used is the latest available from
http://jgo.local.net/libfaim. Look at the Makefile in
http://www.w00w00.org/files/w00aimexp/Makefile. I didn't find it necessary
to change anything to build. Once libfaim is installed, reference the
libfaim headers files by -I/path/to/headers (probably
/usr/local/include/faim).

Re AIM addendum:
The temporary solution you provide would only protect you so long as all
the buddies on your list were not compromised. As soon as one buddy is
compromised, then you are vulnerable *through* that buddy. Or am I not
clearly understanding this exploit?

Re AIM addendum:
Yes, which is why in the original advisory we recommended AIM filter be
installed. This will block the attack from anyone. So only allowing your
buddies to contact you in addition to installing AIM filter will keep you
secure until a new version of AIM comes out.

Gruß, Odin
 
Guten Abend,

Hier nochmal was in deutsch. 8)

Gruss Stefan

NACHTRAG: Lücke im AIM ist geschlossen!

AOL hat auf seinen Messenging-Servern den angekündigten Patch installiert und damit das vor wenigen Tagen entdeckte Sicherheitsleck im AOL Instant Messenger (AIM) geschlossen. Die Anwender brauchen daher kein Bugfix zu installieren.


Laut AOL-Sprecher Andrew Weinstein ist dem Unternehmen kein Fall bekannt, der dieses Sicherheitsleck ausnutzt. Wie berichtet, hätte ein Hacker mittels Buffer Overflow die Kontrolle über den AIM und Windows-PC des Benutzers erlangen können.

Über einen gezielt eingeleiteten Buffer Overflow ist es möglich, direkt auf Systemebene mit allen lokalen Rechten zu agieren. Der Angreifer könnte damit etwa Webseiten ändern, Software auf den Server laden oder letzteren umkonfigurieren. Unabhängige Sicherheitsexperten von w00w00 Security Development ( WSD) hatten die Lücke am Mittwoch dieser Woche entdeckt.
 
Zurück
Oben