ICQ 7: Kritische Sicherheitslücke im Messenger
Ob die Anfrage tatsächlich an einen ICQ-Server geschickt wird, prüft das Autoupdate nicht. Und selbst der Dateidownload muss nicht von einem ICQ-Server stammen. Eine solche Schwachstelle lässt sich mittels DNS-Spoofing relativ einfach ausnutzen, um die Update-Anfrage an einen anderen Server umzuleiten. Durch die fehlende Download-Kontrolle ließe sich von dort aus Malware herunterladen.
Kritische Lücke in ICQ: Alle Versionen betroffen
Daniel Seither, ein Student der TU Darmstadt, ist auf die Sicherheitslücke gestoßen. Betroffen sind ihm zufolge alle ICQ-7-Versionen einschließlich der aktuellen Build 3525. Auf der Webseite Securityfocus hat er bereits Codezeilen veröffentlicht, mit denen sich die Update-Anfrage manipulieren lässt.
Die Hersteller selbst haben sich zu der Sicherheitslücke weder geäußert noch einen Patch in Aussicht gestellt. Da sich die Autoupdate-Funktion in ICQ nicht deaktivieren lässt, rät Seither zum Verzicht auf ICQ oder Wechsel zu einem anderen Messenger. Wir empfehlen den kostenlosen QIP Infium, der ohne die Sicherheitslücke und Werbe-Banner auskommt. (mag)
Quelle: Chip.de