Недостатки в безопасности программы обмена мгновенными сообщениями ICQ для
Windows и веб-сайта ICQ создают возможный механизм для захвата аккаунтов,

предупреждает
исследователь в области безопасности.

Левент Каян предупреждает, что программное обеспечение не защищает от
внедрения JavaScript-кода в статус-сообщения пользователя. Данная уязвимость
означает, что этот JavaScript код может быть запущен на компьютере жертвы при
условии, что она откроет статус-сообщение с ловушкой используя уязвимый ICQ
клиент.

Данная техника может быть использована для кражи сессионных куки, что
позволяет захватчику выдать себя за жертву или (с большими усилиями) получить
доступ к локальным файлам на взломанном ПК. Ранее в этом месяце Каян обнаружил
подобную XSS-уязвимость в Skype.

Компании Heise Security удалось воспроизвести уязвимость, обнаруженную
Каяном, используя текущую — 7.5 — версию ICQ. ICQ сообщила новостному сайту в
области безопасности, что она находится в процессе разработки и тестирования
фикса безопасности.

Обновление: Официальный ответ Mail.Ru Group: Поздним вечером 26.07.11г. к
нам поступила информация об обнаружении опасной уязвимости в клиенте ICQ для
Windows, а также на сайте. Наши специалисты оперативно отреагировали на данную
информацию и уже к 14.00 (по моск. времени) 27 июля уязвимость была полностью
устранена.



Оставить мнение