ICQ anfällig für Account-Diebstahl
Durch Cross-Site-Scripting-Lücken in ICQ und der dazugehörigen Webseite können Angreifer unter Umständen den Account übernehmen, Programme ausführen oder lokale Dateien auslesen.
- Ronald Eikenberg
Der Instant Messenger ICQ für Windows und die ICQ-Website weisen Schwachstellen auf, durch die ein Angreifer die Kontrolle über den ICQ-Account gewinnen kann, warnt der Sicherheitsforscher Levent Kayan in Security-Advisories zu ICQ und der dazugehörigen Website. ICQ prüft gleich Angaben in den Nutzerprofilen nicht ausreichend und auch die durch den Benutzer frei wählbaren Statusmeldungen werden nicht genau genug auf ausführbaren Code analysiert. Eine ähnliche Lücke hatte Kayan kürzlich bereits im Skype-Client entdeckt.
(Bild: heise Security)
Öffnet das Opfer im ICQ-Client oder auf der ICQ-Webseite das Profil des Angreifers, wird der auf dem ICQ-Server platzierte JavaScript-Code ausgeführt. Dadurch könnte der Angreifer etwa das Cookie des Opfers stehlen, mit dem er dessen Sitzung übernehmen kann. Es sieht so aus, als wird der Scriptcode in einem lokalen Kontext ausgeführt: Damit ist prinzipiell dann auch das Ausführen von Anwendungen und das Auslesen von lokalen Dateien möglich.
Beim sogenannten persistenten Cross-Site-Scripting gelingt es dem Angreifer, JavaScript-Code auf dem verwundbaren Server zu hinterlegen, der beim Opfer durch den Besuch einer Webseite oder die Nutzung eines Programms ausgeführt wird. Gegenüber heise Security wollte die Presseagentur von ICQ das Problem nicht kommentieren. Wir konnten das Problem mit der aktuellen ICQ-Version 7.5 unter Windows 7 nachvollziehen.
Update: Die Presseagentur von ICQ gab gegenüber heise Security bekannt, dass die Entwickler das Problem erkannt haben und "auf einem guten Wege" seien, es zu beheben. (rei)
