Abo
  • Services:

Neuer Yahoo Messenger behebt zwei Sicherheitslücken

Sicherheitslecks erlauben Ausführung von Programmcode

Mit einer neuen Version vom Yahoo Messenger sollen gleich zwei Sicherheitslücken in dem Instant-Messaging-Client behoben werden. Über eines der beiden Sicherheitslöcher kann ein Angreifer seinem Opfer eine ausführbare Datei unterschieben, was dem Angreifer eine umfassende Kontrolle über ein fremdes System verschaffen kann.

Artikel veröffentlicht am ,

Das eine Sicherheitsleck im Yahoo Messenger zeigt lange Dateinamen im Download-Dialog des Instant-Messengers nicht korrekt an, so dass ein Angreifer eine Datei mit einer doppelten Dateiendung auf ein fremdes System schleusen kann. Ein Opfer wird so in den Glauben versetzt, etwa eine Bilddatei zu öffnen, startet aber stattdessen eine ausführbare Datei, sofern die Anzeige von Dateiendungen im Windows Explorer deaktiviert ist, was standardmäßig der Fall ist.

Stellenmarkt
  1. über duerenhoff GmbH, Raum Essen
  2. UDG United Digital Group, Ludwigsburg, Mainz, Herrenberg, Karlsruhe oder Hamburg

Die zweite, weniger gefährliche Sicherheitslücke kann nur von lokalen Nutzern für Angriffe missbraucht werden. Dazu muss eine Reihe von Voraussetzungen erfüllt sein: Zunächst muss der Yahoo Messenger woanders als im Programme-Verzeichnis installiert sein. Dann könnte ein Angreifer darin eine Datei mit dem Namen ping.exe ablegen und diese ausführen, sobald der Audio-Setup-Wizard aufgerufen wird. Sollten alle diese Vorgaben erfüllt sein, kann ein Angreifer über ping.exe beliebigen Programmcode auf einem fremden System ausführen.

Beide Sicherheitslecks wurden für den Yahoo Messenger 6.0.0.1750 bestätigt, womöglich sind aber auch andere Versionen davon betroffen. In der aktuellen Version des Yahoo Messenger wurden die Sicherheitslücken geschlossen. Der Yahoo Messenger 6.0.0.1921 steht kostenlos zum Download bereit.



Anzeige
Top-Angebote
  1. 359,00€ (Preis-Leistungs-Award von PCGH erhalten!)
  2. (u. a. Assassins Creed Odyssey 36,99€, Dark Souls III 12,99€, Rainbow Six Siege 12,99€)
  3. (u. a. TP-Link Switch 15,99€)
  4. 139,99€

jupp52m 10. Sep 2005

hallo wie komme ich in den raum 50:1

Franky 11. Mai 2005

Die wesentlich einfachere Möglichkeit ist, sich den Amerikanischen Messenger...

mydia82 17. Mär 2005

Ich bedanke mich vielmals für die Hilfe die ich hier schon bezüglich des chats hatte (das...

nettesgirl 17. Mär 2005

hallo! hab da so ein problem! habe zwar jetzt wieder das chaticon im messi, aber wenn ich...


Folgen Sie uns
       


Alexa-App für Windows 10 ausprobiert

Wir stellen Alexa über die neue Windows-10-App einige Fragen und natürlich erzählt sie auch wie immer einen Witz.

Alexa-App für Windows 10 ausprobiert Video aufrufen
Interview Alienware: Keiner baut dir einen besseren Gaming-PC als du selbst!
Interview Alienware
"Keiner baut dir einen besseren Gaming-PC als du selbst!"

Selbst bauen oder Komplettsystem kaufen, die Zukunft von Raytracing und was E-Sport-Profis über Hardware denken: Golem.de hat im Interview mit Frank Azor, dem Chef von Alienware, über PC-Gaming gesprochen.
Von Peter Steinlechner

  1. Dell Alienware M15 wird schlanker und läuft 17 Stunden
  2. Dell Intel Core i9 in neuen Alienware-Laptops ab Werk übertaktet

Serverless Computing: Mehr Zeit für den Code
Serverless Computing
Mehr Zeit für den Code

Weniger Verwaltungsaufwand und mehr Automatisierung: Viele Entwickler bauen auf fertige Komponenten aus der Cloud, um die eigenen Anwendungen aufzubauen. Beim Serverless Computing verschwinden die benötigten Server unter einer dicken Abstraktionsschicht, was mehr Zeit für den eigenen Code lässt.
Von Valentin Höbel

  1. Kubernetes Cloud Discovery inventarisiert vergessene Cloud-Native-Apps
  2. T-Systems Deutsche Telekom will Cloud-Firmen kaufen
  3. Trotz hoher Gewinne Wieder Stellenabbau bei Microsoft

Haiku Beta 1 angesehen: BeOS in modernem Gewand
Haiku Beta 1 angesehen
BeOS in modernem Gewand

Seit nunmehr über 17 Jahren arbeitet ein kleines Entwickler-Team am quelloffenen Betriebssystem Haiku, das vollständig kompatibel sein soll mit dem um die Jahrtausendwende eingestellten BeOS. Seit einigen Wochen liegt endlich eine erste Betaversion vor, die BeOS ein wenig in die Moderne verhilft.
Von Tim Schürmann


      •  /