Zum Hauptinhalt Zur Navigation

Abo testen Anmelden

ICQ: Update schließt XSS-Sicherheitslücke

ICQ hat über sein integriertes Update-System die kürzlich entdeckte XSS-Sicherheitslücke geschlossen. ICQ bestätigte, dass es sich um die von Levent Kayan beschriebene Schwachstelle handelte.

28. Juli 2011 um 17:25 Uhr / Jörg Thoma

5 Kommentare News folgen (öffnet im neuen Fenster)

Über eine Sicherheitslücke im ICQ-Client konnten Angreifer auf Windows-Systeme zugreifen. (Bild: Levent Kayan) — Über eine Sicherheitslücke im ICQ-Client konnten Angreifer auf Windows-Systeme zugreifen. Bild: Levent Kayan

Die kürzlich entdeckte Cross-Site-Scripting-Schwachstelle(öffnet im neuen Fenster) in den Benutzerprofilen des ICQ-Clients ist geschlossen. ICQ hat die Sicherheitslücke über das integrierte Updatesystem verteilt. Benutzer müssen nicht eine neue Version der Software herunterladen und installieren. In einer E-Mail an Golem.de bestätigte ICQ, dass es sich um die von dem Berliner Entwickler und Sicherheitsexperten Levent " noptrix(öffnet im neuen Fenster) " Kayan entdeckte Schwachstelle handelt.

Angreifer können eine Sicherheitslücke im ICQ-Client nutzen, um sich Zugriff auf Windows-Systeme zu verschaffen. — Bild 1/1: Angreifer können eine Sicherheitslücke im ICQ-Client nutzen, um sich Zugriff auf Windows-Systeme zu verschaffen.

Von der XSS-Schwachstelle waren die ICQ-Benutzerprofile betroffen. Über ein Javascript konnte über gekaperte Session-IDs anderer Benutzer auf den Client und das darunter liegende Betriebssystem zugegriffen werden. ICQ will die Verwendung von Benutzer-IDs nochmals überprüfen und absichern. Zudem werde die Software auf weitere Schwachstellen überprüft, schrieb ein ICQ-Entwickler.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Der ultimative Python-Grundkurs im E-Learning-Format

Workshops und Weiterbildungen: Der ultimative Python-Grundkurs im E-Learning-Format

Digital Omnibus: Europas schleichender Abschied vom Datenschutz

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

Source Code Management und CI / CD: virtueller Drei-Tage-Workshop

Seminar: Source Code Management und CI / CD: virtueller Drei-Tage-Workshop

Exklusiv: Ethical Hacking: Analyse von Malware und Cyberbedrohungen (E-Learning)

E-Learning: Exklusiv: Ethical Hacking: Analyse von Malware und Cyberbedrohungen (E-Learning)

Laut Kayan werden Ein- und Ausgaben in Profileinträgen nicht hinreichend überprüft und bereinigt. Kayan hatte zuvor die XSS-Schwachstelle in Skype gefunden und beschrieben .

Zur Startseite 5 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

lade Kommentare...

Karrierewelt

Fachinformatiker/in (m/w/d) für Systemintegration Stadt Westerstede, Westerstede (öffnet im neuen Fenster)

Technische Ausbildung Bundesnachrichtendienst, Flensburg (öffnet im neuen Fenster)

Network Engineer (m/w/d) medatixx GmbH & Co. KG, Bamberg (öffnet im neuen Fenster)

IT-Systemadministrator Linux / VMware / Veeam / Storage ESWE Versorgungs AG, Wiesbaden (öffnet im neuen Fenster)

Über eine Sicherheitslücke im ICQ-Client können Angreifer auf Windows-Systeme zugreifen (Bild: Levent Kayan) (Levent Kayan)

Cross Site Scripting: ICQ-Client für Windows wird zum Einfallstor

Die ICQ-Clients bis Version 7.5 können für einen Cross-Site-Scripting-Angriff genutzt werden. Über die Software kann ein Angreifer auf das darunterliegende Windows-System zugreifen.

ICQ 7.4

ICQ 7.4: Neue Funktionen, bekannte Sicherheitslücke

Der Instant Messenger ICQ ist in der Version 7.4 mit einigen Verbesserungen erschienen. Leider haben die Entwickler aber die Sicherheitslücke in der Autoupdate-Funktion noch nicht beseitigt.

Optik des ICQ-Clients für Linux (Bild: icq.com) (icq.com)

Instant Messenger: Erster offizieller Linux-Client setzt auf Adobe-Produkte

Ein offizieller Linux-Client des Instant Messengers ICQ steht zur Verfügung. Dieser ist nicht quelloffen und funktioniert nur mit Adobe Air und Flash.

Schwefel ist bestens verfügbar, aber auch sehr reaktiv. (Bild: Getty Images/Joaquin Sarmiento) (Getty Images/Joaquin Sarmiento)

Na-S-Batterie: Zehnfache Energiedichte, ein Zehntel der Kosten, ein Haken

Der neu entwickelte Akku hätte keine nennenswerten Materialkosten, weil entscheidende Veränderungen die Leistung vervielfachen konnten.

Fehlermeldung bei der Datev (Bild: Borncity/Golem) (Borncity/Golem)

Lohnabrechnungen falsch verschickt: DSGVO-Vorfall bei der Datev

Nach einer technischen Störung bei der Datev-Lohnabrechnung sind Kundendaten in falsche Hände gelangt. Auslöser war ausgerechnet ein Problemlösungsversuch.

Zwei Amazon-Mitarbeiter im Hauptgebäude in Arlington (Bild: ANDREW CABALLERO-REYNOLDS/AFP via Getty Images) (ANDREW CABALLERO-REYNOLDS/AFP via Getty Images)

Büropräsenz: Amazon überwacht Mitarbeiter mit neuem Anwesenheits-Board

Amazon-Manager können nun auf Knopfdruck sehen, wer sich wie lange im Office aufhält. Das Unternehmen kategorisiert Mitarbeiter nach ihrem Verhalten.

Schnäppchen, Rabatte und Top-Angebote: Die besten Deals des Tages

Daily Deals • Zotac RTX 5080 1.349€ • Samsung 9100 Pro 1TB 162€ • Corsair PC-Komponenten und Gaming-Zubehör bis -51% • Gigabyte OLED 27" QHD 240Hz 512€ • Gigabyte RTX 5080 1.399€ • Verbatim SSD 1TB (PS5-komp.) 60,90€ [Werbung]