Web

 

Vorsicht - der MSN Messenger hält nicht dicht

10.05.2002

MÜNCHEN (COMPUTERWOCHE) - In einem aktuellen Security Bulletin warnt Microsoft vor einem Sicherheitsproblem mit der ActiveX-Komponente "MSN Chat Control", die unter anderem mit dem populären Instant Messaging-Client MSN Messenger ab Version 4.5 und dem Exchange Instant Messenger ausgeliefert wird, aber auf Websites auch separat herunterzuladen ist. Der Windows Messenger von Windows XP enthält das Control übrigens nicht.

Das Chat Control enthält einen ungesicherten Puffer für Input-Parameter. Über einen böswillig herbeigeführten Buffer Overflow könnte ein Angreifer auf einem attackierten Rechner Code seiner Wahl zur Ausführung bringen. Ein Patch ist bereits erhältlich, ebenso wie fehlerbereinigte Versionen der IM-Anwendungen. Die Download-Links finden sich im erwähnten Security Bulletin. (tc)