Sicherheit
HTML-Injection-Lücke in ICQ 6.5
von
Dorothee
Chlumsky - 19.08.2009
Eine Sicherheitslücke in ICQ kann Angreifern die Möglichkeit eröffnen, fremden Code in den Rechner des Opfers einzuschleusen. Die Lücke tritt in der aktuellen ICQ-Version auf. Einen Patch gibt es bislang noch nicht.
In der weit verbreiteten Instant-Messaging-Software ICQ 6.5 ist eine Sicherheitslücke bekannt geworden, die es Angreifern möglich macht, fremden Code auf dem Rechner des Opfers einzuschleusen. Die Gefahr liegt darin, dass ICQ Text, den das Tool als "eingehende Nachricht" geschickt bekommt, interpretiert und im "Incoming Message"-Fenster als HTML-Code darstellt. Auf diesem Weg lässt sich auch unerwünschter HTML-Code einschleusen.
Der Entdecker der Lücke, Maxim Kulakov, verfolgt die "Full Disclosure"-Policy für Sicherheitslücken. Der Hersteller wurde demnach noch nicht offiziell benachrichtigt. Einen Patch, der die Lücke schließt, gibt es bislang nicht. Weitere Details zur ICQ-Lücke finden sich bei Securityfocus.
