Abo
  • Services:

Instant Messaging

ICQ 7 als Sicherheitsrisiko

ICQ 7 für Windows lässt sich über die Autoupdatefunktion zum Ausführen von fremdem Programmcode missbrauchen. Dazu muss laut dem Informatikstudenten Daniel Seither lediglich der Updateserver des Instant-Messaging-Dienstes imitiert werden.

Artikel veröffentlicht am ,
ICQ-Logo
ICQ-Logo

Der ICQ-Client prüft bei jedem Programmstart, ob ein Update auf dem Server liegt - er überprüft aber weder die Serveridentität noch, ob die übertragenen Dateien auch von ICQ stammen. Daniel Seither, Informatikstudent an der TU Darmstadt, hat herausgefunden, dass ICQ damit leicht ein unechter Updateserver vorgesetzt werden kann - etwa mittels DNS-Spoofing - und unautorisierter Code übertragen werden kann. Statt einem Update könnte der ICQ-Client beim nächsten Start dann etwa Schadsoftware ausführen.

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart, Esslingen
  2. eco Verband der Internetwirtschaft e.V., Köln

Laut Seither betrifft diese Sicherheitslücke alle bisherigen Versionen, von ICQ 7 für Windows bis zur aktuellen Version 7.2 Build 3525. Da sich die automatischen Updates nicht deaktivieren lassen, rät er deshalb dazu, auf ICQ 7 ganz zu verzichten oder einen anderen Instant-Messenger zu benutzen, bis das Problem behoben wurde. ICQ hat bisher noch nicht reagiert, zum Download wird nur die Build 3525 aus dem Januar 2010 angeboten.

Auf Securityfocus.com hat Daniel Seither auch einige Codezeilen veröffentlicht, mit denen sich ein ICQ-Update-Server fälschen lässt ("Remote Code Execution in ICQ 7"). Auch beim US-Cert ist eine Vulnerability Note VU#680540 zu dem Sicherheitsproblem zu finden ("ICQ 7 fails to verify the origin of software updates").



Anzeige
Spiele-Angebote
  1. 2,99€
  2. (-46%) 24,99€
  3. (-82%) 4,44€

Döch 19. Jan 2011

Du meinst eines das Hashes benutzt? Die man auch Faken (bzw kollidieren lassen) kann? An...

_Jo_ 19. Jan 2011

Auf deinem hausinternen DNS? Halte ich für unrealistsich, dass den jeder daheim hat. (Das...

FF-Update 19. Jan 2011

Firefox nutzt eine Updateroutine auf HTTPS-Basis. Ist nicht das gelbe vom Ei, kostet...

elgooG 19. Jan 2011

Nein, das ist kein Trollposting, ich meine es wirklich so. Dadurch, dass jedes Programm...

irgendjemand 18. Jan 2011

schon immer gewesen. Totaler FAIL!


Folgen Sie uns
       


Royole Flexpai - Hands on (CES 2019)

Das Flexpai von Royole ist das erste kommerziell erhältliche Smartphone mit faltbarem Display. Ein erster Kurztest des Gerätes zeigt, dass es noch einige Probleme mit der Software hat.

Royole Flexpai - Hands on (CES 2019) Video aufrufen
IT-Jobs: Ein Jahr als Freelancer
IT-Jobs
Ein Jahr als Freelancer

Sicher träumen nicht wenige festangestellte Entwickler, Programmierer und andere ITler davon, sich selbstständig zu machen. Unser Autor hat vor einem Jahr den Schritt ins Vollzeit-Freelancertum gewagt und bilanziert: Vieles an der Selbstständigkeit ist gut, aber nicht alles. Und: Die Freiheit des Freelancers ist relativ.
Ein Erfahrungsbericht von Marvin Engel

  1. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"
  2. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp
  3. IT-Jobs "Jedes Unternehmen kann es besser machen"

Padrone angesehen: Eine Mausalternative, die funktioniert
Padrone angesehen
Eine Mausalternative, die funktioniert

CES 2019 Ein Ring soll die Computermaus ersetzen: Am Zeigefinger getragen macht Padrone jede Oberfläche zum Touchpad. Der Prototyp fühlt sich bei der Bedienung überraschend gut an.
Von Tobias Költzsch

  1. Videostreaming Plex will Filme und Serien kostenlos und im Abo anbieten
  2. People Mover Rollende Kisten ohne Fahrer
  3. Solar Cow angesehen Elektrische Kuh gibt Strom statt Milch

Datenschutz: Nie da gewesene Kontrollmacht für staatliche Stellen
Datenschutz
"Nie da gewesene Kontrollmacht für staatliche Stellen"

Zur G20-Fahndung nutzt Hamburgs Polizei eine Software, die Gesichter von Hunderttausenden speichert. Schluss damit, sagt der Datenschutzbeauftragte - und wird ignoriert.
Ein Interview von Oliver Hollenstein

  1. Brexit-Abstimmung IT-Wirtschaft warnt vor Datenchaos in Europa
  2. Österreich Post handelt mit politischen Einstellungen
  3. Digitalisierung Bär stößt Debatte um Datenschutz im Gesundheitswesen an

    •  /