ICQ

Update schließt XSS-Sicherheitslücke

ICQ hat über sein integriertes Update-System die kürzlich entdeckte XSS-Sicherheitslücke geschlossen. ICQ bestätigte, dass es sich um die von Levent Kayan beschriebene Schwachstelle handelte.

Artikel veröffentlicht am ,
Über eine Sicherheitslücke im ICQ-Client konnten Angreifer auf Windows-Systeme zugreifen.
Über eine Sicherheitslücke im ICQ-Client konnten Angreifer auf Windows-Systeme zugreifen. (Bild: Levent Kayan)

Die kürzlich entdeckte Cross-Site-Scripting-Schwachstelle in den Benutzerprofilen des ICQ-Clients ist geschlossen. ICQ hat die Sicherheitslücke über das integrierte Updatesystem verteilt. Benutzer müssen nicht eine neue Version der Software herunterladen und installieren. In einer E-Mail an Golem.de bestätigte ICQ, dass es sich um die von dem Berliner Entwickler und Sicherheitsexperten Levent "noptrix" Kayan entdeckte Schwachstelle handelt.

  • Angreifer können eine Sicherheitslücke im ICQ-Client nutzen, um sich Zugriff auf Windows-Systeme zu verschaffen.
Angreifer können eine Sicherheitslücke im ICQ-Client nutzen, um sich Zugriff auf Windows-Systeme zu verschaffen.
Stellenmarkt
  1. Prozessmanager (m/w/d) LEAN Production
    Goldbeck GmbH, Bielefeld
  2. IT-Berater Konzeption Polizeianwendungen (w/m/d)
    Dataport, verschiedene Standorte
Detailsuche

Von der XSS-Schwachstelle waren die ICQ-Benutzerprofile betroffen. Über ein Javascript konnte über gekaperte Session-IDs anderer Benutzer auf den Client und das darunter liegende Betriebssystem zugegriffen werden. ICQ will die Verwendung von Benutzer-IDs nochmals überprüfen und absichern. Zudem werde die Software auf weitere Schwachstellen überprüft, schrieb ein ICQ-Entwickler.

Laut Kayan werden Ein- und Ausgaben in Profileinträgen nicht hinreichend überprüft und bereinigt. Kayan hatte zuvor die XSS-Schwachstelle in Skype gefunden und beschrieben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


DerAmboss 29. Jul 2011

Besser noch wäre ein Wechsel des Protokolls gewesen ;-) XMPP ftw

tingelchen 28. Jul 2011

So sieht also der Client neuerdings aus. Das letzte mal hab ich ihn vor... uff... 10...

Tipo 28. Jul 2011

Haben die denn an OSCAR auch was geändert oder kommt man noch ungehindert hinein?



Aktuell auf der Startseite von Golem.de
Cryptomator
Endlich ist unsere Cloud Ende-zu-Ende-verschlüsselt

Werkzeugkasten Noch liegen die Daten bei Dropbox, Onedrive oder in der Nextcloud unverschlüsselt - doch mit dem Open-Source-Tool Cryptomator lässt sich das leicht ändern.
Von Moritz Tremmel

Cryptomator: Endlich ist unsere Cloud Ende-zu-Ende-verschlüsselt
Artikel
  1. Jetracer: Liegestuhl fliegt mit 250 km/h
    Jetracer
    Liegestuhl fliegt mit 250 km/h

    Der Jetracer ist eine Art fliegender Stuhl mit mehreren Turbinen, die für den Vortrieb sorgen. Der Einsitzer soll 250 km/h erreichen.

  2. Hase Bikes Lepus E: E-Liegerad mit Anfahrhilfe ohne zu Treten
    Hase Bikes Lepus E
    E-Liegerad mit Anfahrhilfe ohne zu Treten

    Das Elektro-Liegerad Lepus E von Hase Bikes verfügt über eine am Lenker einschaltbare Anfahrhilfe. Bis 6 km/h muss nicht getreten werden.

  3. Kabelnetz: Vodafone setzt neuartige Antennendosen ein
    Kabelnetz
    Vodafone setzt neuartige Antennendosen ein

    Ohne Radioport kommt die neue Antennendose und ist damit schon für DOCSIS 4.0 vorbereitet. Doch sie soll bereits jetzt Vorteile für Vodafone-Kunden bringen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Neuer Saturn-Flyer • MindStar (MSI RTX 3070 599€) • Günstig wie nie: Zotac RTX 3080 12GB 829€, Mac mini 16GB 1.047,26€, Samsung SSD 1TB/2TB (PS5) 111€/199,99€ • PS5 bestellbar • Games für PS5/PS4 bis 84% günstiger • Bester 2.000€-Gaming-PC[Werbung]
    •  /