MÜNCHEN (COMPUTERWOCHE) - Microsoft hat die Benutzer des Instant-Messaging-Clients "MSN Messenger" aufgefordert, wegen eines Sicherheitslecks eine neue Version von der Website zu laden. Anwender sollten Version 6.2.0205 einsetzen oder die Betaversion 7 des MSN Messenger nutzen.

Auf die Sicherheitslücke, von der auch "Windows Messenger" und "Windows Media Player" betroffen sein sollen, waren Entwickler des Sicherheitsspezialisten Core Security gestoßen. Es handelt sich um einen Designfehler in der Komponentendatei "libpng". Diese wird zum Anzeigen von Portable-Network-Graphics-(PNG-)Dateien verwendet, die für Smileys, Buddy-Symbole und andere Grafikelemente nötig sind.

Core Security hat nun im Internet offengelegt, wie sich der Messenger mit Hilfe einer manipulierten PNG-Datei über einen Buffer Overflow zum Absturz bringen lässt. Schlimmer noch, das Sicherheitsleck ermöglicht es Angreifern, eigenen Code auf dem Zielsystem zum Ablauf zu bringen. Theoretisch könnte ein Teilnehmer im MSN-Messenger-Netzwerk die Kontrolle über ein anderes System übernehmen, ohne dass der Betroffene etwas davon merkt.

Laut Core Security werden die Attacken von Sicherheitssoftware wie Host-basierende Firewalls, Antivirensoftware und Intrusion-Detection-Systemen nicht entdeckt. (hv)