Instant Messenger schreiben in beliebige Verzeichnisse

Hier könnt Ihr euch über PC-, Browser- und Konsolen-Games unterhalten sowie bei PC-Problemen um Hilfe bitten.
Antworten
Benutzeravatar
patti
Site Admin
Site Admin
Beiträge: 7955
Registriert: Mi 23. Nov 2005, 00:48
Geschlecht: Männlich
Wohnort: NRW Kerken
Kontaktdaten:
Kontaktdaten von patti

Instant Messenger schreiben in beliebige Verzeichnisse

Ungelesener Beitrag von patti »

Instant Messenger schreiben in beliebige Verzeichnisse

Die Instant-Messaging-Anwendungen AIM und ICQ erlauben es einem Angreifer, beliebige Dateien auf einem Zielsystem anzulegen, wenn der Anwender einem Datei-Download zustimmt, warnt iDefense. Durch relative Pfadangaben im Dateinamen, die "../" enthalten, kann der Angreifer das vom Anwender vorgegebene Download-Verzeichnis verlassen und an anderen Orten des Dateisystems schreiben.

Der Sicherheitsnotiz zufolge kann der Angreifer den im Download-Dialog von ICQ angezeigten Namen frei und unabhängig vom später verwendeten Dateinamen wählen. Dieser erscheint erst später, während des eigentlichen Downloads. Allerdings überschreibt der Instant Messenger keine existierenden Dateien ohne Nachfrage.

Laut iDefense wurden aktive ICQ-Clients bereits über den eingebauten Update-Mechanismus aktualisiert, um die Lücke zu schließen. Anwender von AIM 5.9 oder älter sollten auf die neueste verfügbare Version umsteigen. Allerdings schütze auch ein nicht weiter spezifizierter Fix der AIM-Infrastruktur.
Lets Plays die spass machen : Klick hier

______________________________________

MonstersgameBlog ueber Games und Abzocker
Nach oben
Antworten

Zurück zu „PC & Konsole“