Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Sicherheitslücke: Adium-Nutzer sollten nicht jede Datei annehmen

Nutzer des Mac-OS-X-Messengers Adium sollten genau hinsehen, wenn ihnen jemand eine Datei mit eigenartigem Namen schicken will. Wie Noptrix herausgefunden hat, kann die Software damit dazu gebracht werden, HTML- und Javascript-Code auszuführen.
/ Christian Klaß
1 Kommentare News folgen (öffnet im neuen Fenster)
Evil Menu Duck - das Adium-Maskottchen (Bild: Adam Betts/GNU GPL)
Evil Menu Duck - das Adium-Maskottchen Bild: Adam Betts/GNU GPL

Levent "Noptrix" Kayan stuft die von ihm im Instant-Messenger Adium(öffnet im neuen Fenster) gefundene Sicherheitslücke(öffnet im neuen Fenster) ("HTML/Javascript-Injection / Cross-Site Scripting") als mittel bis schwerwiegend ein. Wie er herausfand, kann sie genutzt werden, um anderen Adium-Nutzern präparierte Dateien zu schicken, deren Dateiname HTML- und Javascript-Code enthält und von Adium ausgeführt wird. Das könnte laut Noptrix(öffnet im neuen Fenster) für Phishing genutzt werden - oder mit etwas Überredungskunst ("Social Engineering") auch den Zugang zu fremden Mac-OS-X-Rechnern ebnen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT-Mitarbeiter (w/m/d) für das Fachressort Geschäftsanwendungen Klinikum Lüneburg, Schwerpunkt Systemadministration und Anwendungsbetreuung Gesundheitsholding Lüneburg GmbH, Lüneburg (öffnet im neuen Fenster)
IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)
Firmware Engineer (m/w/d) Embedded Linux und Security PCS Systemtechnik GmbH, München (öffnet im neuen Fenster)
Softwareentwickler (m/w/d) Produktkonfiguration TROX SE, Neukirchen-Vluyn (öffnet im neuen Fenster)
(Senior-) Softwareentwickler (m/w/d) Java Fullstack Mecklenburgische Versicherungs-Gesellschaft a.G., Hannover (öffnet im neuen Fenster)
AI Solution Engineer (m/w/d) HOCHTIEF PPP Solutions GmbH, Essen (öffnet im neuen Fenster)
Informatiker / Wirtschaftsinformatiker (m/w/d) als IT Security Experte Cloud-Anwendungen Scheidt & Bachmann Fare Collection Systems GmbH, Mönchengladbach bei Düsseldorf (öffnet im neuen Fenster)
Architect SAP Administration (m/w/d) bis zu 100 % remote ALBA Management GmbH, Berlin (öffnet im neuen Fenster)

Betroffen sind laut Noptrix Adium-Versionen bis 1.4.2. Auf Nachfrage von Golem.de bestätigte der Sicherheitsexperte, dass auch die aktuelle Beta 1.4.3b2 betroffen ist. Die Entwickler des freien Multi-Messengers Adium müssen nun dafür sorgen, dass die Namen ein- und ausgehender Dateien entschärft werden. Und Nutzern rät Noptrix, sich die Dateinamen von zur Übertragung angebotenen Dateien genauer anzuschauen.

Noptrix hatte in den vergangenen Wochen bereits Sicherheitslücken in Skype und ICQ gemeldet. Sie wurden mittlerweile beseitigt.

Zur Startseite 1 Kommentare

Relevante Themen

SoftwareUnternehmenssoftwareSecuritySicherheitslückeSocial EngineeringDatensicherheitInstant MessengerApplikationen