Der Sicherheitsforscher Levent Kayan warnt in Security-Advisories zu ICQ und der dazugehörigen Website, dass die ICQ-Website und der Instant Messenger ICQ für Windows Schwachstellen aufweisen, durch die ein Angreifer die Kontrolle über den ICQ-Account gewinnen kann. Angaben in den Nutzerprofilen prüft ICQ nicht ausreichend und auch die durch den Benutzer frei wählbaren Statusmeldungen werden nicht genau genug auf ausführbaren Code analysiert.

Wenn das Opfer im ICQ-Client oder auf der ICQ-Webseite das Profil des Angreifers öffnet, wird der auf dem ICQ-Server platzierte JavaScript-Code ausgeführt. Anscheinend wird der Scriptcode in einem lokalen Kontext ausgeführt: Prinzipiell ist damit das Ausführen von Anwendungen und das Auslesen von lokalen Dateien möglich. Es gelingt dem Angreifer beim sogenannten persistenten Cross-Site-Scripting, JavaScript-Code auf dem verwundbaren Server zu hinterlegen, der beim Opfer durch den Besuch einer Webseite oder die Nutzung eines Programms ausgeführt wird.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE