Thema: AOL diverses

[SiLæncer]

Durch ein fehlerhaftes ActiveX-Control in AOLs You've-Got-Pictures-Software könnten Angreifer etwa durch manipulierte Webseiten einen Pufferüberlauf auslösen, der das Einschmuggeln und Ausführen von beliebigem Code auf das System erlaubt. Das You've-Got-Pictures-Findermodul YGPPicFinder.dll behandelt lange Zeichenketten nicht korrekt, wodurch der Pufferüberlauf auftreten kann.

Betroffen sind die Software-Versionen 8.0, 8.0+ sowie 9.0 Classic von AOL. Das fehlerhafte ActiveX-Control wurde auch von der You've-Got-Pictures-Webseite bis 2004 verteilt. Zur Behebung des Fehlers rät das FrSIRT, auf AOL 9.0 Optimized oder AOL 9.0 Security Edition umzusteigen oder einen Hotfix anzuwenden.

[Update]:
Laut Tobias Riepe von AOL Deutschland sind die deutsche Version 9.0 der AOL-Software sowie die deutsche Fassung des Fotocenters nicht von dem Problem betroffen.

Siehe dazu auch:

    * AOL "YGP Picture Finder Tool" ActiveX Control Buffer Overflow Vulnerability vom FrSIRT
    * Download von AOL 9.0 Optimized oder AOL 9.0 Security Edition
    * Download des Hotfixes

Quelle und Links : http://www.heise.de/security/news/meldung/68414

[SiLæncer]

Suchanfragen von mehr als 650.000 Nutzern versehentlich veröffentlicht

AOL hat auf die Veröffentlichung von Suchergebnissen verschiedener AOL-Nutzer reagiert und einen Fehler eingestanden. Wie es dazu kam, bleibt aber weiter im Unklaren. Bislang wurde angenommen, dass die Suchanfragen von 500.000 AOL-Kunden veröffentlicht wurden. Nun steht fest, dass sogar mehr als 650.000 US-Nutzer betroffen waren.

Es sei ein Versehen gewesen, diese Daten zu veröffentlichen, sagte AOL-Sprecher Andrew Weinstein. AOL hatte ein Archiv mit mehr als 20 Millionen Suchanfragen von über 650.000 AOL-Kunden veröffentlicht. Die Daten wurden zwischen März und Mai 2006 gesammelt und decken ein Drittel der während dieser Phase getätigten Suchanfragen ab. Die AOL-Kennungen waren zwar überschrieben, aber zum Teil sei eine Identifizierung der betreffenden Personen über die Suchanfragen möglich gewesen. Zum Teil sollen die Suchanfragen persönliche Daten wie Namen, Adressen oder auch Sozialversicherungsnummern enthalten haben.

AOL habe noch nicht entschieden, ob der Konzern gegen eigene Mitarbeiter vorgehen werde, die für die versehentliche Veröffentlichung der Suchergebnisse verantwortlich sind. Entsprechende interne Untersuchungen seien noch nicht abgeschlossen. Vollkommen unklar ist nach wie vor, wie es dazu kam, dass derart vertrauliche Daten im Internet veröffentlicht wurden. Diese Daten sollten eigentlich nur zu Forschungszwecken verwendet werden, um die Arbeit von Suchmaschinen zu verbessern.

In den Datensätzen befanden sich nach Auskunft von AOL Deutschland und AOL USA keine Informationen deutscher Nutzer. Suchanfragen der deutschen AOL-Kunden würden über andere Server laufen und zudem werden hierzulande die AOL-Kennungen nicht protokolliert, erklärte AOL Deutschland gegenüber Golem.de. In den Log-Dateien seien nur Suchanfragen von US-Nutzern der AOL-Suche enthalten gewesen, betonte der amerikanische Mutterkonzern.

Quelle : www.golem.de

[SiLæncer]

Drei AOL-Kunden haben beim District Court for the Northern District of California ein Sammelklageverfahren gegen ihren Provider beantragt. Sie beschuldigen laut Klageschrift (PDF-Datei) das Unternehmen, ihre Privatsphäre verletzt zu haben, indem es Ende Juli ohne Einverständnis der Betroffenen Suchanfragen im Internet veröffentlicht hat. Die Kläger verlangen für alle betroffenen AOL-Kunden Schadensersatz. Es sei die erste Klage aus diesem Anlass, schreibt die vertretende Kanzlei.

Im August war bekannt geworden, das AOLs Forschungsabteilung rund 20 Millionen Suchanfragen von 658.000 AOL-Kunden in einem für jedermann zugänglichen Wiki zum Download bereit gestellt hatte. In der Datei waren die Screennames der Nutzer durch zufällige Ziffernkombinationen ausgetauscht, doch in den Datensätzen befinden sich jedoch Informationen, die Rückschlüsse auf die suchende Person zulassen, etwa Namen und Adressen von Freunden oder Kollegen, hieß es, und laut Klageschrift auch Uhrzeit und Datum der Suchanfragen. Zwei Wochen später mussten Technologie-Chefin Maureen Govern und zwei weitere AOL-Mitarbeiter gehen.

Zwar sei die Datei von AOL von der Webseite genommen worden, doch sei sie bis dahin bereits heruntergeladen worden und an anderern Stellen im Internet wieder aufgetaucht, meinen die Kläger. AOL habe sich zwar bereits entschuldigt, doch nichts getan, um die Situation zu bessern. Auch sammle AOL weiterhin diese Art Daten seiner Kunden und habe den Datenschutz nicht verbessert.

Quelle : www.heise.de

[SiLæncer]

Mit AOLs Zugangssoftware liefert das Unternehmen auch Active-X-Module aus, die Bilder herunterladen und als Bildschirmschoner anzeigen. In diesen Modulen des "You Got Pictures"-Systems können Pufferüberläufe auftreten, über die Schadcode eingeschleust werden könnte. Angreifer könnten die Sicherheitslücken beispielsweise mittels präparierter Webseiten ausnutzen und so die Kontrolle über betroffene Systeme übernehmen.

Bei der Anmeldung mit der Zugangssoftware am AOL-Dienst werden automatisch aktualisierte Module ausgeliefert und eingespielt. Der deutsche Support von AOL konnte nicht sagen, ob die deutschen Versionen der Zugangssoftware ebenfalls betroffen sind, jedoch liefert man sicherheitshalber die Updates auch hier aus. Nutzer der AOL-Software sollten daher schnellstmöglich eine Anmeldung vornehmen, um ihr System auf einen sicheren Stand zu bringen.

Siehe dazu auch:

    * AOL YGP Screensaver ActiveX control buffer overflow, Sicherheitsmeldung des US-CERT
    * AOL YGP Pic Downloader Plugin ActiveX control buffer overflow, Fehlermeldung des US-CERT

Quelle und Links : http://www.heise.de/security/news/meldung/79300

[SiLæncer]

Über Schwachstellen in AOLs Bildschirmschoner "You Got Pictures" (YGP) können Angreifer unter Umständen die Kontrolle über Systeme mit installierter AOL-Zugangssoftware übernehmen. Wie der Sicherheitsdienstleister iDefense meldet, handelt es sich bei den Fehlern um Pufferüberläufe in den Funktionen "downloadFileDirectory" und "AddPictureNoAlbum" des Active-X-Controls "YGPPDownload". Nutzer des Internet-Explorers könnten sich durch die Lücke beim Surfen im Web auf manipulierten Webseiten unter Umständen Schadsoftware einfangen. Erst vor zwei Wochen hatten Sicherheitsexperten vergleichbare Fehler in der YGP-Komponente entdeckt.

iDefense empfiehlt allen Anwendern mit AOL-Software 9.0, sich über den Dienst anzumelden, um den automatischen Update-Mechanismus in Gang zu setzen. Dieser behebt die Fehler durch Einspielen einer gepatchten Version. Benutzer einer älteren Zugangssoftware kommen jedoch nicht in den Genuss automatischer Updates. Ihnen legen die Sicherheitsexperten nahe, umgehend auf Version AOL 9.0 zu aktualisieren.

Siehe dazu auch:

    * AOL YGPPDownload AddPictureNoAlbum ActiveX Control Heap Corruption Vulnerability, Advisory von iDefense
    * AOL YGPPDownload downloadFileDirectory ActiveX Control Heap Corruption Vulnerability, Advisory von iDefense
    * AOL-Active-X-Module reißen Sicherheitslöcher auf von heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/80155

[SiLæncer]

Ein Fehler in AOLs Software gefährdet die PCs von Anwendern, auch wenn diese gar kein AOL benutzen. Nach Angaben des Sicherheitsdienleisters TippingPoint steckt im ActiveX-Control AOL SuperBuddy eine kritische Lücke, mit der ein Angreifer mittels einer manipulierten Webseite die Kontrolle über einen Rechner übernehmen kann, sofern das Opfer die Seite mit dem Internet Explorer besucht. Über eine Lücke im Control, mit dem sich animierte und tönende Icons einbinden lassen, soll es möglich sein, Code in den Rechner zu übertragen und zu starten. Der Fehler wurde in der America Online 9.0 Security Edition gefunden. AOL hat am 29. März ein Update bereit gestellt, das die Lücke schließt, sobald man sich mit AOL verbindet. Informationen über das Problem soll der Anbieter bereits am 18. Juli 2006 erhalten haben.

TippingPoint weist darauf hin, dass viele PCs, darunter auch solche von Dell und Hewlett Packard, mit vorinstallierter AOL-Software ausgeliefert werden. Da viele Anwender aber andere Dienste statt AOL benutzen, wird das Update nie installiert: das verwundbare Control verbleibt weiterhin auf dem PC. Betroffene Anwender können das Control Sb.SuperBuddy.1 manuell löschen oder das Kill-Bit setzen, um zu verhindern, dass das Control geladen werden kann. Nähere Angaben dazu macht Tipping-Point in seinem Fehlerbericht.

Schon Anfang Dezember und Ende Oktober 2006 musste AOL Sicherheitslücken in ActiveX-Controls seiner Software schließen.

Siehe dazu auch:

    * America Online SuperBuddy ActiveX Control Code Execution Vulnerability, Fehlerbericht von TippingPoint -> http://www.tippingpoint.com/security/advisories/TSRT-07-03.html

Quelle : www.heise.de

[SiLæncer]

Spammer missbrauchen derzeit verstärkt Mail-Accounts von AOL-Nutzern. Die Spam-Mails gehen vor allem an die Kontakte der Betroffenen, was darauf hindeutet, dass die Accounts gehackt wurden.

Derzeit häufen sich Berichte von AOL-Nutzern, deren Mail-Accounts kompromittiert und für den Spam-Versand missbraucht wurden. Über die betroffenen Mail-Accounts wurden unter anderem Spam-Mails verschickt, die ominöse Diätprodukte bewerben.

Auffällig dabei ist, dass die Mails offenbar vor allem – aber nicht nur – an Empfänger gehen, welche die Besitzer der betroffenen Accounts in ihren Adressbüchern gespeichert hatten. AOL erklärt den Opfern derzeit noch, dass die Spammer lediglich die Absenderadressen gefälscht haben – ungeachtet der Tatsache, dass offenbar Zugriffe auf die persönlichen Adressbücher, und somit auch die AOL-Accounts, stattgefunden haben müssen.

Eine heise Security vorliegenden Version der Mail wurde anscheinend nicht über einen Mail-Server von AOL verschickt. Das ist ein Indiz dafür, dass die Spammer zwar die Mail-Adressen und Namen ihrer Opfer kopiert haben, die Accounts jedoch nicht für den Spam-Versand benutzen. AOL kann den Versand der Mails in diesem Fall nach dem Datenklau nicht verhindern.

Wie die Ganoven in die Mail-Accounts eindringen konnten, ist derzeit noch unklar. Ein ähnlicher Fall ereignete sich vor zwei Jahren bei GMX. Das Unternehmen gab damals an, dass kein Hackerangriff auf den Dienst stattgefunden habe, sondern die genutzten Login-Daten anderswo erbeuten wurden. Oftmals werden Zugangsdaten missbraucht, die von Botnetzen eingesammelt werden. Auch den Mail-Versand erledigen dann häufig Botnetze.

Quelle : www.heise.de

[SiLæncer]

Anders als bislang behauptet ging der gewaltigen Spam-Welle ein Zugriff auf AOL-Kundendaten voraus. Betroffen sollen ungefähr zwei Prozent aller Mail-Nutzer sein. Unter der Datenbeute befinden sich auch verschlüsselte Passwörter.

Nachdem die Daten zahlreicher AOL-Kunden für eine gewaltige Spam-Welle missbraucht wurden, räumt das Unternehmen nun ein, was viele schon geahnt haben: Unbekannte haben sich Zugriff auf die Daten einer "signifikanten Anzahl" der Kunden von AOL Mail verschafft, genauer gesagt auf zwei Prozent der Nutzerdaten. Da die Kundenkartei von AOL im Laufe der Jahre eine beachtliche Größe angenommen haben dürfte, ist vermutlich auch die Anzahl der Opfer entsprechend groß. Betroffen sind Mail- und Postanschriften sowie verschlüsselte Passwörter und die Antworten auf die "Passwort vergessen"-Fragen.

Zur Verschlüsselung machte AOL keine Angaben, es soll jedoch keine Hinweise darauf geben, dass die verschlüsselten Daten geknackt wurden. Das war aber auch gar nicht nötig: Unter der Datenbeute befinden sich nämlich auch die Adressbücher der Nutzer. Damit hatten die Täter alle nötigen Daten für ihre Spam-Welle: Sie verschickten ihre Werbemails nicht über AOL, sondern über diverse andere Server mit gefälschten Absenderadressen – nämlich den Mail-Adressen der AOL-Kunden. Als Empfänger wurden unter anderem die Kontakte der Kunden eingesetzt. AOL untersucht nach eigenen Angaben derzeit, wie genau die Daten abgegriffen wurden und will die betroffenen Kunden informieren.

Quelle : www.heise.de