Instant Messaging: ICQ 7 als Sicherheitsrisiko
Der ICQ-Client prüft bei jedem Programmstart, ob ein Update auf dem Server liegt – er überprüft aber weder die Serveridentität noch, ob die übertragenen Dateien auch von ICQ stammen. Daniel Seither(öffnet im neuen Fenster) , Informatikstudent an der TU Darmstadt, hat herausgefunden, dass ICQ damit leicht ein unechter Updateserver vorgesetzt werden kann – etwa mittels DNS-Spoofing – und unautorisierter Code übertragen werden kann. Statt einem Update könnte der ICQ-Client beim nächsten Start dann etwa Schadsoftware ausführen.
Laut Seither betrifft diese Sicherheitslücke alle bisherigen Versionen, von ICQ 7 für Windows bis zur aktuellen Version 7.2 Build 3525. Da sich die automatischen Updates nicht deaktivieren lassen, rät er deshalb dazu, auf ICQ 7 ganz zu verzichten oder einen anderen Instant-Messenger zu benutzen, bis das Problem behoben wurde. ICQ hat bisher noch nicht reagiert, zum Download(öffnet im neuen Fenster) wird nur die Build 3525 aus dem Januar 2010 angeboten.
Auf Securityfocus.com hat Daniel Seither auch einige Codezeilen veröffentlicht, mit denen sich ein ICQ-Update-Server fälschen lässt (" Remote Code Execution in ICQ 7(öffnet im neuen Fenster) "). Auch beim US-Cert ist eine Vulnerability Note VU#680540 zu dem Sicherheitsproblem zu finden (" ICQ 7 fails to verify the origin of software updates(öffnet im neuen Fenster) ").