Die allerneuesten Versionen des AOL Instant Messenger AIM bieten mehr Services als je zuvor - vor allem für Hacker. Der AIM zeigt so klaffende Sicherheitslücken, dass er zur Fernsteuerung für PCs werden könnte.
Web-Profis wissen es seit langem: Wenn ein neues, cooles Software-Produkt auf den Markt kommt, dann sieht man es sich gerne an - und nutzt vorerst weiter eine ältere Version, von der man weiß, dass sie funktioniert.
Sicher ist zumindest: Mit zunehmender Komplexität der angebotenen Services haben die Software-Entwickler offensichtlich Probleme, alle möglichen Sicherheitslücken und Programmfehler bereits vor der Veröffentlichung zu erkennen und zu beheben. Der User wird immer mehr zum Beta-Tester.
Das ist zwar lästig, aber harmlos, wenn sich Mängel auf bloße Programm-Instabilitäten und Performance-Fehler beschränken (man denke an die ersten Releases von NetScape 6). Skandalös wird es hingegen, wenn Software zur Gefahrenquelle für den Rechner wird - wie zuletzt im Fall von Windows XP und nun beim AIM.
Der ist der am meisten genutzte Messenger der Welt und bietet seinen Usern eine stetig wachsende Zahl von Services, an deren Performance AOL unermüdlich weiterstrickt und -doktert.
Die neuesten Releases des AIM (4.7.2480 und die Beta 4.8.2616) wurden nun nicht nur um neue und verbesserte "Buddy"-Funktionen erweitert, sondern auch um wahre Serviceleistungen für Hacker. Die könnten sich beispielweise von den Game-Funktionen des AIM eingeladen fühlen. Über den AIM kann man so genannte Buddys ("Kumpel") - das sind Kontakte, deren AIM-"Adressen" man in einem eigenen Adressbuch gespeichert hat - zu gemeinsamen Spielen einladen.
Die Funktion eröffnet für Hacker die Möglichkeit, durch das massenhafte Versenden von Textnachrichten einen so genannten "Memory Overflow" herbeizuführen, der den Rechner für den direkten Zugriff des Hackers öffnet. Der könnte sodann den AOL-Slogan "Play a Game with a Buddy" etwas zu wörtlich und die Kontrolle über den PC des Attackierten übernehmen.
AOL-Sprecher Andrew Weinstein versicherte, dass man das Problem bald unter Kontrolle bekommen und dass sich AOL selbst um die Behebung der Sicherheitslücke kümmern werde.
Im Klartext: Man kann im Augenblick nichts an der Sicherheitslücke tun und sollte in Sachen AIM-Version 4.7.2480 und 4.8.2616 auch entsprechend tatenlos bleiben. "Finger weg" und "Nein", die Uralt-Rezepte katholisch geprägter Empfängnisverhütung, greifen auch in Sachen AIM. Wer weiter "messengen" will, der greife auf ältere Programmversionen zurück, bis AOL Entwarnung gibt. Zu finden sind ältere AIM-Versionen, die die Behebung ihrer Sicherheitslücken schon hinter sich haben, auf älteren CD-ROMs oder bei Download.com.
Wie schon fast üblich sind die Nutzer von Apple- und Linux-Systemen nicht betroffen, denn für sie gibt es die neue Version des AIM mit den "gefährlichen" Features noch nicht. Manchmal ist es eben gar nicht so schlecht, nicht sofort mit dem neuesten Kram bedient zu werden. Siehe oben.
© SPIEGEL ONLINE 2002
Web-Profis wissen es seit langem: Wenn ein neues, cooles Software-Produkt auf den Markt kommt, dann sieht man es sich gerne an - und nutzt vorerst weiter eine ältere Version, von der man weiß, dass sie funktioniert.
Sicher ist zumindest: Mit zunehmender Komplexität der angebotenen Services haben die Software-Entwickler offensichtlich Probleme, alle möglichen Sicherheitslücken und Programmfehler bereits vor der Veröffentlichung zu erkennen und zu beheben. Der User wird immer mehr zum Beta-Tester.
Das ist zwar lästig, aber harmlos, wenn sich Mängel auf bloße Programm-Instabilitäten und Performance-Fehler beschränken (man denke an die ersten Releases von NetScape 6). Skandalös wird es hingegen, wenn Software zur Gefahrenquelle für den Rechner wird - wie zuletzt im Fall von Windows XP und nun beim AIM.
Der ist der am meisten genutzte Messenger der Welt und bietet seinen Usern eine stetig wachsende Zahl von Services, an deren Performance AOL unermüdlich weiterstrickt und -doktert.
Die neuesten Releases des AIM (4.7.2480 und die Beta 4.8.2616) wurden nun nicht nur um neue und verbesserte "Buddy"-Funktionen erweitert, sondern auch um wahre Serviceleistungen für Hacker. Die könnten sich beispielweise von den Game-Funktionen des AIM eingeladen fühlen. Über den AIM kann man so genannte Buddys ("Kumpel") - das sind Kontakte, deren AIM-"Adressen" man in einem eigenen Adressbuch gespeichert hat - zu gemeinsamen Spielen einladen.
Die Funktion eröffnet für Hacker die Möglichkeit, durch das massenhafte Versenden von Textnachrichten einen so genannten "Memory Overflow" herbeizuführen, der den Rechner für den direkten Zugriff des Hackers öffnet. Der könnte sodann den AOL-Slogan "Play a Game with a Buddy" etwas zu wörtlich und die Kontrolle über den PC des Attackierten übernehmen.
AOL-Sprecher Andrew Weinstein versicherte, dass man das Problem bald unter Kontrolle bekommen und dass sich AOL selbst um die Behebung der Sicherheitslücke kümmern werde.
Im Klartext: Man kann im Augenblick nichts an der Sicherheitslücke tun und sollte in Sachen AIM-Version 4.7.2480 und 4.8.2616 auch entsprechend tatenlos bleiben. "Finger weg" und "Nein", die Uralt-Rezepte katholisch geprägter Empfängnisverhütung, greifen auch in Sachen AIM. Wer weiter "messengen" will, der greife auf ältere Programmversionen zurück, bis AOL Entwarnung gibt. Zu finden sind ältere AIM-Versionen, die die Behebung ihrer Sicherheitslücken schon hinter sich haben, auf älteren CD-ROMs oder bei Download.com.
Wie schon fast üblich sind die Nutzer von Apple- und Linux-Systemen nicht betroffen, denn für sie gibt es die neue Version des AIM mit den "gefährlichen" Features noch nicht. Manchmal ist es eben gar nicht so schlecht, nicht sofort mit dem neuesten Kram bedient zu werden. Siehe oben.
© SPIEGEL ONLINE 2002
