99348

AOL stopft Sicherheitsloch in ICQ

08.11.2006 | 15:35 Uhr |

Eine Sicherheitslücke in ICQ ermöglicht das Einschleusen von beliebigem Code, ohne dass der Empfänger einer ICQ-Nachricht etwas dazu beitragen müsste. Ein Update, das die Lücke schließt, ist bereits verfügbar.

Die von der 3com-Tochter Tipping Point gegründete Zero Day Initiative (ZDI) warnt vor einer Schwachstelle im Instant Messenger ICQ 5.1 Der Fehler steckt im ActiveX-Steuerelement des Download-Agenten von ICQ Phone. Der Fehler wurde bereits im September entdeckt und an AOL gemeldet, jedoch erst jetzt veröffentlicht, nachdem AOL eine Aktualisierung für ICQ bereit gestellt hat.

Aus der Sicherheitsempfehlung der ZDI geht hervor, dass die Ausnutzung der ActiveX-Schwachstelle über einen speziell präparierten Avatar erfolgen kann. Dieses Bild des Anrufers wird beim Verbindungsaufbau zwischen zwei Teilnehmern automatisch übertragen. Der Empfänger der Nachricht muss dazu nicht aktiv beitragen - es genügt, wenn er online ist. Die anfällige ActiveX-Komponente in ICQ bekommt durch den präparierten Avatar eine Download-Adresse übermittelt, lädt die betreffende Datei herunter und führt sie mit den Rechten des angemeldeten Benutzers aus.

Bereits am 31. Oktober hat AOL eine fehlerbereinigte Fassung seines Instant Messengers über die automatische Update-Funktion von ICQ bereit gestellt. Anwender von ICQ 5.1 sollten daher zumindest lange genug online gehen, damit dieses Update herunter geladen werden kann. Auf der ICQ-Website wird noch der Build #3000 aus dem Juli 2006 zum Download angeboten.

0 Kommentare zu diesem Artikel
99348