ICQ: Update schließt XSS-Sicherheitslücke

ICQ hat über sein integriertes Update-System die kürzlich entdeckte XSS-Sicherheitslücke geschlossen. ICQ bestätigte, dass es sich um die von Levent Kayan beschriebene Schwachstelle handelte.

28. Juli 2011 um 17:25 Uhr / Jörg Thoma

5 Kommentare Auf Google folgen (öffnet im neuen Fenster)

Über eine Sicherheitslücke im ICQ-Client konnten Angreifer auf Windows-Systeme zugreifen. (Bild: Levent Kayan) — Über eine Sicherheitslücke im ICQ-Client konnten Angreifer auf Windows-Systeme zugreifen. Bild: Levent Kayan

Die kürzlich entdeckte Cross-Site-Scripting-Schwachstelle(öffnet im neuen Fenster) in den Benutzerprofilen des ICQ-Clients ist geschlossen. ICQ hat die Sicherheitslücke über das integrierte Updatesystem verteilt. Benutzer müssen nicht eine neue Version der Software herunterladen und installieren. In einer E-Mail an Golem.de bestätigte ICQ, dass es sich um die von dem Berliner Entwickler und Sicherheitsexperten Levent "noptrix(öffnet im neuen Fenster)" Kayan entdeckte Schwachstelle handelt.

Bild 1/1: Angreifer können eine Sicherheitslücke im ICQ-Client nutzen, um sich Zugriff auf Windows-Systeme zu verschaffen.

Von der XSS-Schwachstelle waren die ICQ-Benutzerprofile betroffen. Über ein Javascript konnte über gekaperte Session-IDs anderer Benutzer auf den Client und das darunter liegende Betriebssystem zugegriffen werden. ICQ will die Verwendung von Benutzer-IDs nochmals überprüfen und absichern. Zudem werde die Software auf weitere Schwachstellen überprüft, schrieb ein ICQ-Entwickler.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

Zur Startseite 5 Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.