• IT-Karriere:
  • Services:

ICQ

Update schließt XSS-Sicherheitslücke

ICQ hat über sein integriertes Update-System die kürzlich entdeckte XSS-Sicherheitslücke geschlossen. ICQ bestätigte, dass es sich um die von Levent Kayan beschriebene Schwachstelle handelte.

Artikel veröffentlicht am ,
Über eine Sicherheitslücke im ICQ-Client konnten Angreifer auf Windows-Systeme zugreifen.
Über eine Sicherheitslücke im ICQ-Client konnten Angreifer auf Windows-Systeme zugreifen. (Bild: Levent Kayan)

Die kürzlich entdeckte Cross-Site-Scripting-Schwachstelle in den Benutzerprofilen des ICQ-Clients ist geschlossen. ICQ hat die Sicherheitslücke über das integrierte Updatesystem verteilt. Benutzer müssen nicht eine neue Version der Software herunterladen und installieren. In einer E-Mail an Golem.de bestätigte ICQ, dass es sich um die von dem Berliner Entwickler und Sicherheitsexperten Levent "noptrix" Kayan entdeckte Schwachstelle handelt.

  • Angreifer können eine Sicherheitslücke im ICQ-Client nutzen, um sich Zugriff auf Windows-Systeme zu verschaffen.
Angreifer können eine Sicherheitslücke im ICQ-Client nutzen, um sich Zugriff auf Windows-Systeme zu verschaffen.
Stellenmarkt
  1. J. Bauer GmbH & Co. KG, Wasserburg/Inn
  2. Münchener Rückversicherungs-Gesellschaft Aktiengesellschaft in München, Munich

Von der XSS-Schwachstelle waren die ICQ-Benutzerprofile betroffen. Über ein Javascript konnte über gekaperte Session-IDs anderer Benutzer auf den Client und das darunter liegende Betriebssystem zugegriffen werden. ICQ will die Verwendung von Benutzer-IDs nochmals überprüfen und absichern. Zudem werde die Software auf weitere Schwachstellen überprüft, schrieb ein ICQ-Entwickler.

Laut Kayan werden Ein- und Ausgaben in Profileinträgen nicht hinreichend überprüft und bereinigt. Kayan hatte zuvor die XSS-Schwachstelle in Skype gefunden und beschrieben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Star Wars: Knights of the Old Republic II - The Sith Lords für 1,99€, Star Wars Empire at...
  2. 51,90€ (Release 12. Februar)
  3. 8,49€
  4. 6,49€

DerAmboss 29. Jul 2011

Besser noch wäre ein Wechsel des Protokolls gewesen ;-) XMPP ftw

tingelchen 28. Jul 2011

So sieht also der Client neuerdings aus. Das letzte mal hab ich ihn vor... uff... 10...

Tipo 28. Jul 2011

Haben die denn an OSCAR auch was geändert oder kommt man noch ungehindert hinein?


Folgen Sie uns
       


Sega Mega Drive (1990) - Golem retro_

Mit Mega-Power sagte Sega 1990 der Konkurrenz den Kampf an. Im Golem retro_ holen wir uns die Spielhalle nach Hause.

Sega Mega Drive (1990) - Golem retro_ Video aufrufen
    •  /