Nachdem Yahoo bereits Ende vergangener Woche ein ähnliches Leck geschlossen hat, ist nun eine Sicherheitslücke in Microsofts MSN Messenger bekannt geworden, die Angreifer mit Webcam-Sitzungen zum Einschmuggeln von beliebigem Programmcode nutzen können sollen. Informationen über die
Schwachstelle wurden wie schon bei der Lücke im Yahoo Messenger vom Team509 veröffentlicht.
Durch Fehler bei der Verarbeitung von präparierten Videodatenströmen kann in Microsofts Messenger ein Pufferüberlauf auftreten, wenn ein Angreifer manipulierte Daten an ein Opfer schickt. Dadurch lässt sich eingeschleuster Schadcode ausführen. Ein potenzielles Opfer muss jedoch zuerst eine Webcam-Sitzungs-Einladung annehmen, damit ein Angreifer die Schwachstelle ausnutzen kann.
Ein Demonstrationsprogramm, das die Sicherheitslücke ausnutzen soll, ist öffentlich verfügbar. Ein Update für die laut dem Sicherheitsdienstleister Secunia betroffenen Versionen 6.x und 7.x des MSN Messenger gibt es bislang jedoch nicht. Nutzer der Software sollten zügig ein Update auf die aktuelle Version 8.1 des inzwischen Windows Live Messenger genannten Programms durchführen oder mit den älteren Versionen keine Einladungen zu Webcam-Sitzungen annehmen.