| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.3 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in AOL Instant Messenger ausgemacht. Sie wurde als kritisch eingestuft. Davon betroffen ist unbekannter Code der Komponente Script Handler. Die Bearbeitung verursacht Cross Site Scripting. Diese Sicherheitslücke ist unter CVE-2007-4901 bekannt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es steht kein Exploit zur Verfügung. Es ist ratsam, die betroffene Komponente zu deaktivieren.
Details
Der AOL Instant Messenger (kurz AIM) ist eine Applikation von AOL, die es ermöglicht mit anderen Nutzern zu chatten. Der AIM gehört neben ICQ, Windows Live Messenger, Yahoo! Messenger und Skype zu den fünf großen proprietären Instant Messengern. Dem Betreiber AOL, dem seit 1998 auch ICQ gehört, wurde im September 2002 ein US-Software-Patent auf Instant Messaging zugesprochen. Mit dem AIM ist es auch Nicht-AOL-Kunden möglich, sowohl eine AOL-E-Mail-Adresse zu haben, als auch sich in offenen AOL-Chaträumen zu bewegen. Weite Teile der AOL-Chaträume bleiben jedoch exklusiv AOL-Mitgliedern vorbehalten. Weiter lassen sich mit AIM auch User kontaktieren, die ICQ verwenden. Lucas Lavarello von CORE fand heraus, dass Eingaben die in Form von Nachrichten anderer User die Applikation erreichen nur unzureichend validiert werden und die Ausführung von Script Code in der lokalen Sicherheitszone erlauben. Dies kann von einem Angreifer dazu missbraucht werden, beliebigen Skriptcode auf einem Zielsystem zur Ausführung zu bringen. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (36658), SecurityFocus (BID 25659†), OSVDB (40556†), Secunia (SA26786†) und Vulnerability Center (SBV-16244†) dokumentiert. Zusätzliche Informationen finden sich unter blog.wired.com. Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-38991. Once again VulDB remains the best source for vulnerability data.
Instant Messaging Applikationen gehören nach wie vor zu den Lieblingszielen sogenannter Skriptkiddies, die dort oftmals den schnellen Erfolg suchen. Das macht die vorliegende Lücke nicht weniger gefährlich, als sie so oder so schon ist, weshalb ein bald erscheinender Patch baldmöglichst eingespielt werden sollte. Bis dahin sollte der Empfang von Nachrichten aus unbekannter Quelle möglichst restriktiv gehandhabt werden.
Produkt
Typ
Hersteller
Name
Lizenz
Webseite
- Hersteller: https://www.aol.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 6.3
VulDB Base Score: 6.3
VulDB Temp Score: 6.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: DeaktivierenStatus: 🔍
0-Day Time: 🔍
Exploit Delay Time: 🔍
Timeline
11.09.2007 🔍11.09.2007 🔍
13.09.2007 🔍
14.09.2007 🔍
14.09.2007 🔍
19.09.2007 🔍
19.09.2007 🔍
19.09.2007 🔍
25.09.2007 🔍
01.10.2007 🔍
01.10.2007 🔍
27.07.2019 🔍
Quellen
Hersteller: aol.comAdvisory: coresecurity.com
Person: Lucas Lavarello (Shell)
Firma: CORE Security
Status: Nicht definiert
CVE: CVE-2007-4901 (🔍)
GCVE (CVE): GCVE-0-2007-4901
GCVE (VulDB): GCVE-100-3316
X-Force: 36658
SecurityFocus: 25659 - AOL Instant Messenger Notification Window Remote Script Code Execution Vulnerability
Secunia: 26786
OSVDB: 40556 - AOL Instant Messenger (AIM) IE Server Control Notification Window Script Injection
Vulnerability Center: 16244 - AOL Instant Messenger 6.1.41.2 Remote HTML Execution, Medium
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 01.10.2007 15:24Aktualisierung: 27.07.2019 09:02
Anpassungen: 01.10.2007 15:24 (71), 27.07.2019 09:02 (8)
Komplett: 🔍
Cache ID: 216:1F9:103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.