Experten warnen vor einem Problem mit der "Instant-Messenger"-Software (AIM) von America Online (AOL), durch das Angreifer einen Buffer Overrun provozieren und beliebigen Code auf einem Rechner ausführen lassen können. Der Fehler betrifft die Komponente "goaway" des Kommunikationstools, mit der Benutzer automatische Antworten auf in ihrer Abwesenheit eingehende Meldungen schicken können.

Die Schwachstelle hängt mit der Art und Weise zusammen, wie AIM mit so genannten Uniform Ressource Identifiern (URIs) umgeht. Wie das Sicherheitsunternehmen iDefense herausgefunden hat, ist es möglich, durch das Senden einer großen Menge von Daten oder das Einbetten einer langen URL in eine elektronische Sofortnachricht die Schwachstelle auszunutzen. Ein Sprecher von AOL räumte inzwischen ein, dass sich der Fehler nur ausnutzen lasse, wenn das Opfer eine bestimmte URL innerhalb einer Instant Message anklickt.

Betroffen ist laut iDefense die AIM-Version 5.5. Außerdem vermutet das Unternehmen die Schwachstelle auch in früheren Releases der Software. Einen Patch gibt es derzeit noch nicht, AOL arbeitet eigenen Aussagen zufolge jedoch an einer Lösung. Bis diese verfügbar ist, empfiehlt iDefense das Entfernen des Schlüssels "HKEY_CLASSES_ROOTaim" aus der Windows-Registry als Gegenmaßnahme. (ave)