Mehrere Sicherheitslücken in ICQ

Der Bostoner Security-Dienstleister Corelabs warnt vor sechs Sicherheitslücken in der Instant-Messaging-Software ICQ Pro 2003a und allen Vorgängerversionen. Hersteller Mirabilis ICQ bietet dem Benutzer mit der Software Funktionen wie Instant Messaging, Chat, E-Mail, SMS-Versand oder Filetransfer.

Eine der gefundenen Lücken im enthaltenen POP3-Client ermöglicht es, die Kontrolle über das System zu erhalten. Bei der Abfrage der Message-IDs (UIDL) kann durch einen Buffer Overflow ein POP3-Server in seiner Antwort böswilligen Code übermitteln. Hierzu muss allerdings ein Angreifer bereits die Kontrolle über den POP3-Server erlangt haben.

Die fehlerhafte Überprüfung des Mail-Headers auf korrekte Längen im Subject und im Datum können den Client zum Absturz bringen. Ein Angreifer muss dazu nur den zu sendenden Mail-Header manipulieren. Corelabs empfiehlt, den Client nicht zum Lesen von E-Mail zu verwenden.

Die Funktion "ICQ Feature on Demand", eigentlich zum Herunterladen neuer Features, kann zum Einschleusen bösärtiger Software missbraucht werden. In der Datei "Packages.ini" ist zwar ein fester URL-Pfad zu neuen Packages definiert, aufgrund der fehlenden Authentifizierung von Paketen nach dem Herunterladen können durch DNS-Spoofing oder Man-in-the-Middle-Attacken fremde Pakete installiert und ausgeführt werden. Eine Empfehlung zur Beseitung dieses Problems wird derzeit noch gegeben.

Der ICQ Pro 2003a Client ist die aktuelle Version der AOL Messaging Software und laut Hersteller mit 228 Millionen Downloads einer der meistverwendeten Messenger. AOL, die Mirabilis bereits 1998 übernahmen, hat nach Aussage von Corelabs noch nicht auf die Probleme reagiert. (dab)