ICQ 7.5: Sicherheitslücke im Client für Windows
Der Sicherheitsexperte Levent Kayan, im Internet besser als Noptrix bekannt, hat eine XSS-Schwachstelle im Windows-Client von ICQ ausfindig gemacht. Betroffen sind davon die Version 7.5 und ältere Ausführungen.
Wie bereits angesprochen lässt sich die Cross-Site-Scripting-Schwachstelle (XSS) unter Windows-Betriebssystemen (XP, Vista und 7) ausnutzen. Ein so genanntes Proof of Concept samt zugehörigem Javascript-Code hat der Experte auf seiner Webseite veröffentlicht.
ICQ 7.5 Lücke
Die Bedrohung für die Nutzer der Instant-Messenger-Anwendung stuft Noptrix als hoch ein. Ein Angreifer könnte seinen Beobachtungen zufolge die Session IDs der Nutzer durch diese XSS-Lücke übernehmen. Unter Umständen wäre auch ein Zugriff auf das System der Anwender möglich, wenn weitergehende Techniken miteinander kombiniert werden.
Technisch liegt dieser Problematik eine unzureichende Auswertung von Einträgen in Profileinträgen der Software zugrunde, schreibt Levent Kayan. Genau an dieser Stelle sollen die Entwickler von ICQ nun ansetzen und ein Update, welches die Schwachstelle aus der Welt schafft, auf den Weg bringen. Bislang hat ICQ nicht offiziell auf diesen Sachverhalt reagiert.
Erst kürzlich machte Levent Kayan auf eine Cross-Site-Scripting-Lücke in der VoIP-Software Skype aufmerksam. Auch in diesem Fall prüfte die Software nicht, welche Zeichen in das Feld für die Mobilfunkrufnummer eingegeben werden, so dass darüber Code eingeschleust werden konnte.
ICQ 7.5 Lücke
Die Bedrohung für die Nutzer der Instant-Messenger-Anwendung stuft Noptrix als hoch ein. Ein Angreifer könnte seinen Beobachtungen zufolge die Session IDs der Nutzer durch diese XSS-Lücke übernehmen. Unter Umständen wäre auch ein Zugriff auf das System der Anwender möglich, wenn weitergehende Techniken miteinander kombiniert werden.
Technisch liegt dieser Problematik eine unzureichende Auswertung von Einträgen in Profileinträgen der Software zugrunde, schreibt Levent Kayan. Genau an dieser Stelle sollen die Entwickler von ICQ nun ansetzen und ein Update, welches die Schwachstelle aus der Welt schafft, auf den Weg bringen. Bislang hat ICQ nicht offiziell auf diesen Sachverhalt reagiert.
Erst kürzlich machte Levent Kayan auf eine Cross-Site-Scripting-Lücke in der VoIP-Software Skype aufmerksam. Auch in diesem Fall prüfte die Software nicht, welche Zeichen in das Feld für die Mobilfunkrufnummer eingegeben werden, so dass darüber Code eingeschleust werden konnte.
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
Meist kommentierte Nachrichten
Forum
-
dav2d: ein sehr schneller plattformübergreifender AV2 decoder
d-hubs - Heute 15:26 Uhr -
Neues von Proxmox, dem Virtualisieurngsspezialisten
d-hubs - Heute 10:53 Uhr -
#FLOCK ´26: die Flock to Fedora Project Conference
d-hubs - Gestern 16:05 Uhr -
DigiKam: das Open-Source-Fotoverwaltungsprogramm
d-hubs - Vorgestern 13:22 Uhr -
Alpine-Linux: unter den schlanken Distris
d-hubs - Vorgestern 12:33 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen