Két komoly biztonsági hiba miatt 228 millió kiszolgáltatott ICQ-használó

A Core Security Technologies bukkant rá a hibákra, melyekből összesen hatot találtak – ám ebből ˝csak˝ kettő minősült súlyosnak. Ez a két sérülékenység azért kapott ilyen besorolást, mert meglétüknek ˝köszönhetően˝ egy támadó képes tetszőleges (akár ártó) kódot futtatni az áldozat rendszerében.

A sebezhetőnek nyilvánított ICQ Pro 2003a kliens az AOL legutolsó, ICQ családba tartozó azonnali üzenőprogramja – ezt a Donwload.com adatai szerint 228 milliónyian töltötték már le. A régebben Mirabilis által fejlesztett, majd az amerikai szórakoztatóipari konglomerátummá avanzsált AOL Time Warner által felvásárolt szoftver Lite változatában nem találták meg a Pro variáns hibáit.

Nemcsak a hiba jelent problémát az ICQ-val kapcsolatban: Ivan Arce, az Core egyik vezetője közölte a nyilvánossággal, hogy azért voltak kénytelenek úgy publikálni a biztonsági réseket, hogy nincsen rájuk javítás, mert eredménytelenül próbálták meg felvenni a kapcsolatot az üzenőprogramot fejlesztők szoftverbiztonságért felelős részlegével.

Nézzünk konkrétan, az ICQ mely részei érintettek! Az első három hiba (köztük az egyik súlyosnak minősített) a kliens e-mailező képességében rejlik. Kihasználásukkal a program rávehető arra, hogy futtasson e-mailben érkező kódot – amely akár rosszindulatú is lehet. A másik komoly sérülékenység az ICQ automatikus frissítésében található – ennek kihasználásával a támadó egy frissítésnek álcázott támadást indíthat.