Sicherheitsloch in Kazaa & Imesh

Nutzer der Tauschsoftware Kaazaa oder Imesh sollten so bald als möglich einen Patch für einen eben aufgedeckten Bug aufspielen. Der Betreiber der Fastrack-Netzwerke, Joltid, hat diesen für die kommenden 24 Stunden versprochen. In Australien streitet sich zwischenzeitlich der Sicherheitsexperte, der die Lücke gefunden hat, mit dem Betreiber über die Dringlichkeit des Problems.

Laut Random Nut, so das Pseudonym des Experten, kann ein Angreifer durch die Lücke Zugriff auf die Supernodes des P2P-Netzwerkes erhalten. „Das ist definitive ein ernstzunehmendes Problem“, erklärte er gegenüber ZDNet Australien. „Am 13. Mai habe ich einen Typen bei Joltid angemailt, zwei Tage später habe ich einen Bug Report an www.kazaa.com weitergeleitet. Gestern hat mich dann ein Mitarbeiter von Joltid kontaktiert. Er erklärte, der von mir angemailte würde sich in Flitterwochen befinden“, so Random Nut.

Obwohl er laut eigenen Angaben in Besitz des vollständigen Codes der Sicherheitslücke ist, will er diesen nicht weiter verbreiten. „Ich habe den Code nicht veröffentlicht. Ich will nicht, dass irgendwelche Skript-Kiddies das Fasttrack-Netzwerk oder Teile davon lahm legen.“

Ein Sprecher von Sharman Networks, Betreiber von Kazaa, erklärte gegenüber ZDNet Australien, Joltid hätte seiner Firma mitgeteilt, dass das Problem ein eher kleines sei. „Als Lizenznehmer wurde Sharman Networks darauf hingewiesen, dass die Fasttrack Peer-to-Peer-Technologie keiner ernsthaften Gefahr ausgesetzt ist.“