Gefährliche Werbebanner in ICQ
Eine ungepatchte Sicherheitslücke erlaubt die Ausführung eingeschleuster Scripte.
Der Instant Messenger ICQ kann in seinen Programmfenstern Werbebanner anzeigen. Dies wird über Funktionen des Internet Explorers realisiert. Wie das Sicherheitsportal Security Focus berichtet, eröffnet dies einem Angreifer die Möglichkeit, beliebigen Script-Code einzuschleusen und auszuführen. Ein Update, das diese Sicherheitslücke behebt, ist demnach noch nicht verfügbar.
In die Programmfenster von ICQ ist ein COM-Objekt des Internet Explorers eingebettet, das zur Anzeige von Werbebanner dient. Dies betrifft nicht nur das Hauptfenster von ICQ sondern auch Nachrichtenfenster und das Eröffnungsfenster. Unter bestimmten Umständen, die der russische Entdecker "QQlan" nicht nennt, kann ein Angreifer den Inhalt dieser Werbeflächen durch eingeschleusten Code ersetzen.
Dabei kann es sich beispielsweise um HTML oder Javascript handeln. Je nach Sicherheitseinstellungen auf dem System kann dieser Code im Kontext der lokalen Sicherheitszone des Internet Explorers ausgeführt werden. Der Entdecker bezeichnet den Typ dieses Angriffs als "Man-in-the-middle", ein Angreifer kann sich also in die Kommunikation zwischen der ICQ-Anwendung und anderen Partnern als unsichtbarer Vermittler einklinken.
Betroffen sind mindestens die Versionen 4 und 5 von ICQ, einschließlich der bis vor kurzem noch aktuellen, bereits ein Jahr alten Programmversion 5.04 (Build 2321). Ob die am 9. Mai bereitgestellte ICQ-Version 5.1 den Fehler beseitigt, geht weder aus der Meldung von Security Focus noch aus den Release Notes von ICQ hervor.
Entdeckt will "QQlan" diese Schwachstellen bereits im Mai 2005 haben, der letzte Versuch einer Kontaktaufnahme mit dem Hersteller soll im April 2006 stattgefunden haben. Weitere Details will der Entdecker erst nach Bereitstellung eines fehlerbereinigten ICQ-Updates veröffentlichen.
Als möglichen Workaround (Umgehung der Schwachstelle) schlägt QQlan vor, einen Eintrag in der HOSTS-Datei vorzunehmen, der den Download von Werbebannern auf den eigenen PC umleitet. Die HOSTS-Datei befindet sich im System-Verzeichnis von Windows, genauer in C:\Windows\System32\drivers\etc\ (bei Windows XP) und ist meist schreibgeschützt. Fügt man mit einem Texteditor eine neue Zeile "127.0.0.1 ar.atwola.com" ein, werden alle Aufrufe zum eigenen PC (127.0.0.1) umgeleitet, die an sich an den Werbebanner-Server gehen sollten. Offen bleibt dabei allerdings die Frage, ob ICQ nur diesen einen Server benutzt.
