Schwere Sicherheitslücke im Windows Live Messenger

Angreifer können beliebigen Programmcode einschleusen und ausführen. Eine knappe Woche, nachdem Microsoft den Instant-Messaging-Client Windows Live Messenger als Final-Version veröffentlicht hat, wurde bereits ein schweres Sicherheitsloch darin gefunden. Mit einer präparierten Kontaktlistendatei kann ein Angreifer beliebigen Programmcode auf ein fremdes System einschleusen und dort ausführen.

26. Juni 2006 um 16:49 Uhr / Ingo Pakalski

40 Kommentare News folgen (öffnet im neuen Fenster)

Öffnet ein Opfer eine entsprechend manipulierte Kontaktlistendatei (.ctt) mit dem Windows Live Messenger, verursacht das einen Heap Overflow und Programmcode kann ausgeführt werden, berichtet Security Tracker(öffnet im neuen Fenster) . Ein Beispiel-Code illustriert ein solches Szenario.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Revisor/-in / Prüfungsleitung Ausrichtung IT, Informationssicherheit und Projektmanagement (m/w/d) – ohne Reisetätigkeit – VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe (öffnet im neuen Fenster)

IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)

Werkstudent*in Process Mining & Optimierung Dortmunder Energie- und Wasserversorgung GmbH DEW21, Dortmund (öffnet im neuen Fenster)

Linux System Administrator (m/w/d) Scionics Computer Innovation GmbH, Dresden (öffnet im neuen Fenster)

Geförderte Weiterbildung Trainer in der Erwachsenenbildung mit systemischer Coachingkompetenz (m/w/d) GIS-Akademie GmbH, Berlin (öffnet im neuen Fenster)

Spezialist Webanalyse & Tracking (m/w/d) Reisen Aktuell GmbH, Koblenz (öffnet im neuen Fenster)

Teamleiter CAM/CNC (m/w/d) Tauster GmbH, Kirchentellinsfurt (öffnet im neuen Fenster)

IT-Systemadministrator (m/w/d) WiSMa GmbH, Freiburg im Breisgau (öffnet im neuen Fenster)

Bislang liegt kein Patch für den Windows Live Messenger vor, um das Sicherheitsloch zu schließen. Daher ist beim Empfang von Kontaktlistendateien per Windows Live Messenger derzeit Vorsicht geboten.

Zur Startseite 40 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Sicherheitsloch in ICQ erlaubt Code-Ausführung

Noch kein Patch für ICQ zu haben. Im Instant Messenger ICQ wurde eine Sicherheitslücke entdeckt, worüber Angreifer beliebigen Script-Code ausführen und damit eine umfassende Kontrolle über ein fremdes System erlangen könnten. Bislang gibt es keinen Patch, um diesen Fehler zu korrigieren.

Aktualisierte Trillian-Patches erhältlich

Sicherheits-Bugfixes nur für Trillian 0.74 und Pro-Version erhältlich. Für den Instant Messenger Trillian stehen ab sofort zwei überarbeitete Patches bereit, die jeweils nur für die beiden aktuellen Fassungen Trillian 0.74 sowie die kostenpflichtige Pro-Version Trillian 1.0 angeboten werden. Die Patches mit der Kennung "B" sollen einige Sicherheitslücken und Probleme in dem Programm beheben.

Trillian-Patches bereinigen Sicherheitslücken

Sicherheits-Bugfixes nur für Trillian 0.74 und Pro-Version erhältlich. In den vergangenen Tagen wurden im Internet einige Sicherheitslücken im Instant Messenger Trillian bekannt, wofür der Hersteller nun passende Patches anbietet, um diese Sicherheitslecks zu stopfen. Allerdings stehen nur Patches für die beiden aktuellen Versionen von Trillian zum Download bereit.

Relevante Themen