Недостатки в безопасности программы обмена мгновенными сообщениями ICQ для
Windows и веб-сайта ICQ создают возможный механизм для захвата аккаунтов,
предупреждает исследователь в области безопасности.
Левент Каян предупреждает, что программное обеспечение не защищает от
внедрения JavaScript-кода в статус-сообщения пользователя. Данная уязвимость
означает, что этот JavaScript код может быть запущен на компьютере жертвы при
условии, что она откроет статус-сообщение с ловушкой используя уязвимый ICQ
клиент.
Данная техника может быть использована для кражи сессионных куки, что
позволяет захватчику выдать себя за жертву или (с большими усилиями) получить
доступ к локальным файлам на взломанном ПК. Ранее в этом месяце Каян обнаружил
подобную XSS-уязвимость в Skype.
Компании Heise Security удалось воспроизвести уязвимость, обнаруженную
Каяном, используя текущую - 7.5 - версию ICQ. ICQ сообщила новостному сайту в
области безопасности, что она находится в процессе разработки и тестирования
фикса безопасности.
Обновление: Официальный ответ Mail.Ru Group: Поздним вечером 26.07.11г. к
нам поступила информация об обнаружении опасной уязвимости в клиенте ICQ для
Windows, а также на сайте. Наши специалисты оперативно отреагировали на данную
информацию и уже к 14.00 (по моск. времени) 27 июля уязвимость была полностью
устранена.
