ICQ-ActiveX-Control ermöglicht Rechnerübernahme
Durch eine Sicherheitslücke in einem ActiveX-Control von ICQ sollen Angreifer durch das einfache Senden einer Nachricht Programme auf die Rechner von Opfern schleusen und mit deren Rechten ausführen können.
Durch eine Sicherheitslücke in dem ActiveX-Control von ICQ sollen Angreifer durch das einfache Senden einer Nachricht Programme auf die Rechner von Opfern schleusen und mit deren Rechten ausführen können. Der Fehler liegt in einer Funktion der Komponente ICQPhone.SipxPhoneManager, die eine Adresse als Parameter annimmt und die damit angegebene Datei herunterlädt sowie ausführt.
Laut der Sicherheitsmeldung der Zero Day Intiative können Angreifer ein so genanntes Avatar, also eigentlich ein Bild des Benutzers, als Angriffsvektor nutzen. Dieses lädt ICQ, sofern eine Nachricht von einem Benutzer eintrifft. Es sei daher keine Aktion vom Opfer nötig, um den Schadcode einzuschleusen und auszuführen.
Der Sicherheitsmeldung ist ebenfalls zu entnehmen, dass AOL Updates herausgegeben hat. Diese sollen beim Verbinden mit dem ICQ-Dienst eingespielt werden. Nutzer der Original-ICQ-Software sollten daher umgehend ihren Client auf den aktuellen Stand bringen, indem sie zumindest kurzzeitig die Software in den Online-Status versetzen.
Siehe dazu auch: (dmk)
- America Online ICQ ActiveX Control Code Execution Vulnerability, Sicherheitsmeldung der Zero Day Initiative
- Download der aktuellen Version von der ICQ-Homepage
