• IT-Karriere:
  • Services:

Cross Site Scripting

ICQ-Client für Windows wird zum Einfallstor

Die ICQ-Clients bis Version 7.5 können für einen Cross-Site-Scripting-Angriff genutzt werden. Über die Software kann ein Angreifer auf das darunterliegende Windows-System zugreifen.

Artikel veröffentlicht am ,
Über eine Sicherheitslücke im ICQ-Client können Angreifer auf Windows-Systeme zugreifen
Über eine Sicherheitslücke im ICQ-Client können Angreifer auf Windows-Systeme zugreifen (Bild: Levent Kayan)

Mit einem einfachen Javascript können Angreifer ICQ-Clients nutzen, um Windows-Systeme zu kompromittieren. Dabei kann über die gekaperten Session-IDs entfernter Benutzer auf die Software und das darunterliegende Betriebssystem zugegriffen werden.

  • Angreifer können eine Sicherheitslücke im ICQ-Client nutzen, um sich Zugriff auf Windows-Systeme zu verschaffen.
Angreifer können eine Sicherheitslücke im ICQ-Client nutzen, um sich Zugriff auf Windows-Systeme zu verschaffen.
Stellenmarkt
  1. Münchener Rückversicherungs-Gesellschaft Aktiengesellschaft in München, Munich
  2. Bayerisches Landesamt für Gesundheit und Lebensmittelsicherheit, Erlangen, Oberschleißheim bei München

Der Berliner Entwickler und Sicherheitsexperte Levent "noptrix" Kayan, der zuvor die XSS-Schwachstelle in Skype gefunden und beschrieben hatte, entdeckte auch die ICQ-Lücke. Sie ist mit der Lücke in Skype fast identisch. Laut dem Armenier Kayan werden Ein- und Ausgaben in Profileinträge nicht hinreichend überprüft und bereinigt.

Bislang hat sich ICQ noch nicht zu der Sicherheitslücke geäußert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 8,49€
  2. 15,99€
  3. 2,50€

Charles... 27. Jul 2011

War bei mir genau so. Außerdem kam hinzu, dass man bei ICQ irgendwie gefühlt immer dann...

IrgendeinNutzer 26. Jul 2011

Das ICQ Programm ist auch schlampig programmiert. Bei meinem alten PC lief das...

c0rtex 26. Jul 2011

Weil die Türken ihn, nach seiner Skype Lücke, als ein Türke bezeichnet haben. :-) Schau...


Folgen Sie uns
       


Mario Kart Live - Test

In Mario Kart Live fährt ein Klempner durch unser Wohnzimmer.

Mario Kart Live - Test Video aufrufen
    •  /