Voor het lek in de Yahoo Messenger is inmiddels een exploit beschikbaar. Een zekere 'shinnai' heeft op de site milw0rm.com een kwaadaardige Visual Basic code geplaatst die aanvallers in staat stelt om malware op de computer van een gebruiker van de im-software te plaatsen. De exploitcode werkt op volledig gepatchte computers waarop Windows XP SP2 is geïnstalleerd. Wie versie 7 van de Internet Explorer heeft geïnstalleerd, kan de aanval echter afslaan.

Het lek in de Yahoo Messenger is de vijfde kritieke kwetsbaarheid in minder dan drie maanden. En volgens nCircle Network Security betreft het bovendien al het negende zero-day lek van het jaar.

Het lek in de AOL Instant Messenger (AIM) is aanmerkelijk minder kritiek, volgens beveiligingsbedrijf Secunia. Door een gemanipuleerd bericht te sturen naar een AIM-gebruiker is het mogelijk om een beperkte hoeveelheid scriptcode uit te voeren. De aanval werkt echter alleen als de aanvaller al 'bevriend' is met het slachtoffer.

Volgens Andrew Storms van nCircle Network Security richten hackers zich in toenemende mate op instant messaging software. Vorige week verplichtte Microsoft de gebruikers van MSN Messenger en Windows Live Messenger om een update te installeren.

"Aanbieders van im proberen marktaandeel te winnen met nieuwe functionaliteiten. Die nieuwe features betekenen echter ook nieuwe risico's voor de eindgebruiker", aldus Storms.

Bron: Techworld