Wie bei Skype

Datenleck auch bei ICQ

Mittwoch, 27.07.2011 | 14:51 von Frank Ziemann
Der Entdecker der kürzlich gemeldeten Skype-Lücke hat eine ganz ähnliche Schwachstelle im Instant Messenger ICQ entdeckt. Wiederum handelt es sich um eine XSS-Lücke, die es einem Angreifer erlaubt die ICQ-Sitzung eines Opfers zu kapern.
Im Chat-Programm ICQ bis zur aktuellen Version 7.5 steckt eine Sicherheitslücke, die einer Mitte Juli entdeckten Skype-Lücke verblüffend ähnelt. Es handelt sich um eine XSS-Schwachstelle (Cross-site Scripting), die ein Angreifer ausnutzen kann, indem er Javascript-Code in sein Profil oder seine Statusmeldungen einbaut. Damit könnte er die ICQ-Sitzung eines Chat-Partners kapern und womöglich sogar Code einschleusen.

Der in Berlin lebende Armenier Levent Kayan hat vor zwei Wochen eine vom Hersteller inzwischen Server-seitig behobene Schwachstelle in Skype  aufgedeckt. Praktisch den gleichen Fehler hat Kayan nun auch bei ICQ ausgemacht. Auch die möglichen Folgen gleichen denen bei Skype.

ICQ-Lücke wie in Skype
Vergrößern ICQ-Lücke wie in Skype

Fügt ein Angreifer Javascript-Code in sein ICQ-Profil oder in Benutzer-definierte Statusmeldungen ein, werden diese von ICQ nicht ausreichend gefiltert. Sie liegen auf dem ICQ-Server, sodass wie bei Skype eine Abhilfe ohne Änderungen an der Client-Software möglich sein sollte. Eine Stellungnahme seitens ICQ steht noch aus.

Update: ICQ hat inzwischen verlautbart, es habe eine Sicherheitslücke entdeckt, die ICQ-Clients unter Windows beeinträchtigen könnte. Das Problem sei behoben worden, bevor Nutzer beeinträchtigt worden seien.

Vergleichbare Sicherheitslücken könnten auch noch in weiteren Instant-Messaging-Diensten sowie in in Web-basierten Chats stecken. Diese zu finden sollte nicht allzu schwer sein.

Mittwoch, 27.07.2011 | 14:51 von Frank Ziemann
Kommentieren Kommentare zu diesem Artikel (0)
1071559