Instant Messaging

ICQ 7 als Sicherheitsrisiko

ICQ 7 für Windows lässt sich über die Autoupdatefunktion zum Ausführen von fremdem Programmcode missbrauchen. Dazu muss laut dem Informatikstudenten Daniel Seither lediglich der Updateserver des Instant-Messaging-Dienstes imitiert werden.

Artikel veröffentlicht am ,
ICQ-Logo
ICQ-Logo

Der ICQ-Client prüft bei jedem Programmstart, ob ein Update auf dem Server liegt - er überprüft aber weder die Serveridentität noch, ob die übertragenen Dateien auch von ICQ stammen. Daniel Seither, Informatikstudent an der TU Darmstadt, hat herausgefunden, dass ICQ damit leicht ein unechter Updateserver vorgesetzt werden kann - etwa mittels DNS-Spoofing - und unautorisierter Code übertragen werden kann. Statt einem Update könnte der ICQ-Client beim nächsten Start dann etwa Schadsoftware ausführen.

Stellenmarkt
  1. Berater Krankenhausinformationssystem (KIS) Neueinführungen (m/w/d)
    Helios IT Service GmbH, Berlin-Buch, deutschlandweit
  2. IT-Projektleiterin/IT-Projek- tleiter (m/w/d) Referat Projekt- und Portfoliomanagement
    GKV-Spitzenverband, Berlin
Detailsuche

Laut Seither betrifft diese Sicherheitslücke alle bisherigen Versionen, von ICQ 7 für Windows bis zur aktuellen Version 7.2 Build 3525. Da sich die automatischen Updates nicht deaktivieren lassen, rät er deshalb dazu, auf ICQ 7 ganz zu verzichten oder einen anderen Instant-Messenger zu benutzen, bis das Problem behoben wurde. ICQ hat bisher noch nicht reagiert, zum Download wird nur die Build 3525 aus dem Januar 2010 angeboten.

Auf Securityfocus.com hat Daniel Seither auch einige Codezeilen veröffentlicht, mit denen sich ein ICQ-Update-Server fälschen lässt ("Remote Code Execution in ICQ 7"). Auch beim US-Cert ist eine Vulnerability Note VU#680540 zu dem Sicherheitsproblem zu finden ("ICQ 7 fails to verify the origin of software updates").

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Döch 19. Jan 2011

Du meinst eines das Hashes benutzt? Die man auch Faken (bzw kollidieren lassen) kann? An...

_Jo_ 19. Jan 2011

Auf deinem hausinternen DNS? Halte ich für unrealistsich, dass den jeder daheim hat. (Das...

FF-Update 19. Jan 2011

Firefox nutzt eine Updateroutine auf HTTPS-Basis. Ist nicht das gelbe vom Ei, kostet...

elgooG 19. Jan 2011

Nein, das ist kein Trollposting, ich meine es wirklich so. Dadurch, dass jedes Programm...

irgendjemand 18. Jan 2011

schon immer gewesen. Totaler FAIL!



Aktuell auf der Startseite von Golem.de
Pluton in Windows 11
Lenovo will Microsofts Sicherheitschip nicht aktivieren

Die neuen Windows-11-Laptops kommen mit dem Chip Pluton. Lenovo will diesen aber noch nicht selbst aktivieren.

Pluton in Windows 11: Lenovo will Microsofts Sicherheitschip nicht aktivieren
Artikel
  1. Fernwartung: Der Kundenansturm, der Teamviewer nicht gut getan hat
    Fernwartung
    Der Kundenansturm, der Teamviewer nicht gut getan hat

    Wie schätzt man die weitere Geschäftsentwicklung ein, wenn die Kunden in der Pandemie plötzlich Panikkäufe machen? Das gelang bei Teamviewer nicht.
    Ein Bericht von Achim Sawall

  2. Probefahrt mit BMW-Roller CE 04: Beam me up, BMW
    Probefahrt mit BMW-Roller CE 04
    Beam me up, BMW

    Mit futuristischem Design und elektrischem Antrieb hat BMW ein völlig neues Fahrzeug für den urbanen Bereich entwickelt.
    Ein Bericht von Peter Ilg

  3. Kryptohandel: Kryptobörse Binance soll Geldwäsche nicht kontrollieren
    Kryptohandel
    Kryptobörse Binance soll Geldwäsche nicht kontrollieren

    Die weltgrößte Krypto-Handelsbörse Binance soll es mit der Kontrolle von Geldwäsche nicht zu genau nehmen und zudem Informationen zurückhalten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 989€ • The A500 Mini Retro-Konsole mit 25 Amiga-Spielen vorbestellbar 189,90€ • RX 6800 16GB 1.129€ • Intel Core i9 3.7 459,50€ Ghz • WD Black 1TB inkl. Kühlkörper PS5-kompatibel 189,99€ • Switch: 3 für 2 Aktion • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /