Wie bei Skype
Datenleck auch bei ICQ
Der Entdecker der kürzlich gemeldeten Skype-Lücke hat eine ganz ähnliche Schwachstelle im Instant Messenger ICQ entdeckt. Wiederum handelt es sich um eine XSS-Lücke, die es einem Angreifer erlaubt die ICQ-Sitzung eines Opfers zu kapern.
Im Chat-Programm ICQ bis zur aktuellen Version 7.5 steckt eine Sicherheitslücke, die einer Mitte Juli entdeckten Skype-Lücke verblüffend ähnelt. Es handelt sich um eine XSS-Schwachstelle (Cross-site Scripting), die ein Angreifer ausnutzen kann, indem er Javascript-Code in sein Profil oder seine Statusmeldungen einbaut. Damit könnte er die ICQ-Sitzung eines Chat-Partners kapern und womöglich sogar Code einschleusen.
Der in Berlin lebende Armenier Levent Kayan hat vor zwei Wochen eine vom Hersteller inzwischen Server-seitig behobene Schwachstelle in Skype aufgedeckt. Praktisch den gleichen Fehler hat Kayan nun auch bei ICQ ausgemacht. Auch die möglichen Folgen gleichen denen bei Skype.
Fügt ein Angreifer Javascript-Code in sein ICQ-Profil oder in Benutzer-definierte Statusmeldungen ein, werden diese von ICQ nicht ausreichend gefiltert. Sie liegen auf dem ICQ-Server, sodass wie bei Skype eine Abhilfe ohne Änderungen an der Client-Software möglich sein sollte. Eine Stellungnahme seitens ICQ steht noch aus.
Update: ICQ hat inzwischen verlautbart, es habe eine Sicherheitslücke entdeckt, die ICQ-Clients unter Windows beeinträchtigen könnte. Das Problem sei behoben worden, bevor Nutzer beeinträchtigt worden seien.
Vergleichbare Sicherheitslücken könnten auch noch in weiteren Instant-Messaging-Diensten sowie in in Web-basierten Chats stecken. Diese zu finden sollte nicht allzu schwer sein.
