Cross Site Scripting
ICQ-Client für Windows wird zum Einfallstor
Die ICQ-Clients bis Version 7.5 können für einen Cross-Site-Scripting-Angriff genutzt werden. Über die Software kann ein Angreifer auf das darunterliegende Windows-System zugreifen.
Mit einem einfachen Javascript können Angreifer ICQ-Clients nutzen, um Windows-Systeme zu kompromittieren. Dabei kann über die gekaperten Session-IDs entfernter Benutzer auf die Software und das darunterliegende Betriebssystem zugegriffen werden.
Der Berliner Entwickler und Sicherheitsexperte Levent "noptrix" Kayan, der zuvor die XSS-Schwachstelle in Skype gefunden und beschrieben hatte, entdeckte auch die ICQ-Lücke. Sie ist mit der Lücke in Skype fast identisch. Laut dem Armenier Kayan werden Ein- und Ausgaben in Profileinträge nicht hinreichend überprüft und bereinigt.
Bislang hat sich ICQ noch nicht zu der Sicherheitslücke geäußert.
War bei mir genau so. Außerdem kam hinzu, dass man bei ICQ irgendwie gefühlt immer dann...
Das ICQ Programm ist auch schlampig programmiert. Bei meinem alten PC lief das...
Weil die Türken ihn, nach seiner Skype Lücke, als ein Türke bezeichnet haben. :-) Schau...