Weiteres Update für Yahoo!-Messenger

Vor knapp einer Woche wurde eine weitere Schwachstelle in Yahoos Messenger bekannt, welche Angreifern das Einschmuggeln von Schadcode ermöglichen kann. Durch das fehlerhafte ActiveX-Modul YVerInfo.dll können zum Beispiel durch manipulierte Webseiten Pufferüberläufe auftreten.

Der Yahoo Sicherheitsmeldung zufolge ermöglicht die vom Sicherheitsdienstleister iDefense entdeckte Lücke ein unfreiwilliges Abmelden von Chat- oder Messenger-Sitzungen, Abstürze von Software wie dem Internet Explorer oder auch die Ausführung von fremdem Programmcode.

Der Fehler betrifft die YVerInfo.dll-Versionen vor der aktuellen 2007.8.27.1. Die ClassID des ActiveX-Moduls lautet {64AA7031-C150-4118-8D31-FD273A2BB22C}. Yahoo hat bereits eine neue Version des Yahoo!-Messengers zum Download bereitgestellt, welche die Sicherheitslücke ausmerzt.

Wer seine Version nicht direkt über Yahoo aktualisieren möchte, der kann zur Beseitigung zwischen zwei Lösungsmöglichkeiten wählen. Entweder setzt der Anwender gezielt das sogenannte KillBit oder deaktiviert für die Internetzone die Ausführung von ActiveX-Steuerelementen.