Thema: Sicherheitslöcher in ICQ

[SiLæncer]

Noch kein Patch für ICQ zu haben

Im Instant Messenger ICQ wurde eine Sicherheitslücke entdeckt, worüber Angreifer beliebigen Script-Code ausführen und damit eine umfassende Kontrolle über ein fremdes System erlangen könnten. Bislang gibt es keinen Patch, um diesen Fehler zu korrigieren.

Das Sicherheitsleck in ICQ tritt bei der Einblendung von Online-Werbung in die Programmoberfläche ein. Hierzu verwendet die Software ein Internet-Explorer-COM-Objekt und ein Angreifer kann darüber beliebigen Script-Code auf ein anderes System schleusen.

Bestätigt wurde das Sicherheitsloch für ICQ 5.04 Build 2321 und frühere Fassungen der Software. Vorerst wird kein Patch angeboten und eine Umgehung der Sicherheitslücke ist ebenfalls nicht bekannt. In jedem Fall hilft der Wechsel zu einem anderen Instant-Messaging-Client vor derartigen Angriffen.

Quelle : www.golem.de

[SiLæncer]

Core Security warnt vor mehreren Lücken in AOLs ICQ-Software. Neben dem ICQ-Client Pro 2003b weist auch die ICQ-Toolbar für den Internet Explorer eine Schwachstelle auf, die sich übers Netz ausnutzen lässt.

Durch einen Programmierfehler können spezielle Nachrichten in ICQ Pro 2003b einen Pufferüberlauf auf dem Heap auslösen, der sich ausnutzen lässt. Entdeckt wurde dieser Fehler mit Hilfe eines speziellen Fuzzing-Tools. Laut Sicherheitsnotiz sind ICQ 5.1 und ICQ2Go! nicht betroffen; Core Security rät zum Upgrade auf ICQ 5.1.

Auch die ICQ-Toolbar für den Internet Explorer überprüft ankommende Daten nicht ausreichend. Hier ist die Folge, dass in RSS-Feeds eingebetteter Script-Code zur Ausführung gelangen kann – und zwar innerhalb der lokalen Zone des IE. Das bedeutet nahezu unbeschränkte Rechte beispielsweise zum Nachladen und Starten von Programmen. Darüber hinaus ließen sich diverse Einstellungen der Toolbar manipulieren. Verwundbar ist die Version 1.3, eine gefixte Version gibt es bislang nicht. Als Lösung empfiehlt AOL laut Core Security, auf die mit ICQ 5.1 ausgelieferte Version 1.2 umzusteigen – die enthält nämlich noch keine RSS-Unterstützung.

Siehe dazu auch:

    * AOL ICQ Pro 2003b heap overflow vulnerability von Core Security
    * Multiple vulnerabilities in ICQ Toolbar 1.3 for Internet Explorer von Core Security


Quelle und Links : http://www.heise.de/security/news/meldung/77898

[SiLæncer]

Durch eine Sicherheitslücke in dem ActiveX-Control von ICQ sollen Angreifer durch das einfache Senden einer Nachricht Programme auf die Rechner von Opfern schleusen und mit deren Rechten ausführen können. Der Fehler liegt in einer Funktion der Komponente ICQPhone.SipxPhoneManager, die eine Adresse als Parameter annimmt und die damit angegebene Datei herunterlädt sowie ausführt.

Laut der Sicherheitsmeldung der Zero Day Intiative können Angreifer ein so genanntes Avatar, also eigentlich ein Bild des Benutzers, als Angriffsvektor nutzen. Dieses lädt ICQ, sofern eine Nachricht von einem Benutzer eintrifft. Es sei daher keine Aktion vom Opfer nötig, um den Schadcode einzuschleusen und auszuführen.

Der Sicherheitsmeldung ist ebenfalls zu entnehmen, dass AOL Updates herausgegeben hat. Diese sollen beim Verbinden mit dem ICQ-Dienst eingespielt werden. Nutzer der Original-ICQ-Software sollten daher umgehend ihren Client auf den aktuellen Stand bringen, indem sie zumindest kurzzeitig die Software in den Online-Status versetzen.

Siehe dazu auch:

    * America Online ICQ ActiveX Control Code Execution Vulnerability, Sicherheitsmeldung der Zero Day Initiative
    * Download der aktuellen Version von der ICQ-Homepage

Quelle und Links : http://www.heise.de/security/news/meldung/80618

[SiLæncer]

In AOLs Zugangssoftware hat der Sicherheitsdienstleister Secunia Sicherheitslücken entdeckt, durch die bösartige Individuen etwa mit präparierten Webseiten eigenen Programmcode einschleusen und ausführen können. Der Fehler betrifft das von der Zugangssoftware installierte ActiveX-Modul CDDBControlAOL.

In dieser ActiveX-Komponente kann ein Pufferüberlauf beim Verarbeiten zu langer Werte für die SetClientInfo()-Funktion auftreten. Dazu muss ein nicht genannter Registry-Schlüssel den Wert "1111" enthalten, was in der Standardinstallation nicht der Fall ist. Dafür kann eine manipulierte Webseite aber auch automatisch sorgen, indem sie zuerst das ActiveX-Modul CerberusCDPlayer instantiiert, das die AOL-Software ebenfalls installiert.

Der Secunia-Meldung zufolge intallieren die AOL-Zugangssoftware-Versionen 7.0 Revision 4114.563, 8.0 Revision 4129.230 und 9.0 Security Edition Revision 4156.910 die fehlerhaften Module. Das Unternehmen vermutet jedoch, dass auch weitere Versionen betroffen sind. AOL empfiehlt seinen Nutzern, ihre Zugangssoftware auf die aktuelle Version 9.0 Security Edition zu aktualisieren, sofern sie noch ältere Varianten einsetzen. Wer bereits die Security Edition einsetzt, müsse sich lediglich am AOL-Dienst anmelden und bekomme dann automatisch fehlerbereinigte Versionen der Dateien eingespielt.

Siehe dazu auch:

    * AOL CDDBControl ActiveX Control "SetClientInfo()" Buffer Overflow, Sicherheitsmeldung von Secunia

Quelle und Links : http://www.heise.de/security/news/meldung/82239

[SiLæncer]

Weil ICQ die Echtheit von aus dem Netz nachgeladenen Updates nicht verifiziert, lassen sich die Aktualisierungen durch Trojaner ersetzen. Allerdings muss ein Angreifer dazu die Auflösung der IP-Adresse des Servernamen update.icq.com auf seinen eigenen Server verbiegen – etwa durch die Manipulation des Routers oder Cache-Poisoning des DNS-Servers.

ICQ sucht kurz nach der Installation nach Updates und lädt diese nach. Da die Updates weder über eine gesicherte SSL-Verbindung mit Zertifikatsprüfung erfolgt, noch die Updates selbst signiert sind, kann man dem Messenger eigene Dateien unterschieben. Der Entdecker des Problems Daniel Seither hat zwei Tools in Python geschrieben, mit dem sich das Problem nachvollziehen lässt.

Das erste Tool baut aus einer beliebigen Exe-Datei eine Zip-Datei und eine Metadatei update.xml, in der Infos zum Update enthalten sind. Ein simpler Python-Webserver liefert die Dateien dann (nach Manipulation des DNS) an den Messenger aus, der das vermeintliche Update unter dem Namen icq.exe installiert.

Im Test von heise Security mit der dem Windows-Taschenrechner calc.exe öffnete sich beim Start von ICQ anschließend dann statt des Messengers der Taschenrechner. Angreifer können statt des Taschenrechners Trojaner ausliefern. Seither hat den Hersteller nach eigenen Angaben informiert, dieser hat bislang jedoch nicht reagiert. Immerhin hat das US-CERT eine Warnung zu dem Problem veröffentlicht.

Seither rät Anwendern bis zur Behebung des Problems, auf ICQ zu verzichten und einen anderen Messenger zu benutzen, da sich die automatischen Updates nicht abstellen lassen. Grundsätzlich betrifft das Problem fehlender digitaler Signaturen für Updates viele weitere Produkte.

Quelle : www.heise.de

[SiLæncer]

Die Entwickler des Messaging-Dienstes 'ICQ' arbeiten aktuell an einer Lösung der kürzlich bekannt gewordenen kritischen Sicherheitslücke in der zugehörigen Client-Anwendung. Das Problem wurde inzwischen offiziell bestätigt.

In Form von einer Mitteilung haben sich die Entwickler zu der Problematik geäußert. Angeblich könnte die jüngst entdeckte potentielle Sicherheitslücke den Anwender einer DNS-Spoofing-Attacke aussetzen, heißt es. Dazu müsse aber der jeweilige Computer schon im Vorfeld beeinträchtigt sein.

Wäre dies der Fall, so könnten Dritte unter Umständen Schadcode auf die Systeme der Opfer einschleusen. Berichte über betroffene Anwender haben das Unternehmen bisher angeblich noch nicht erreicht. Wie bereits angesprochen sind die Entwickler damit beschäftigt, die potentielle Sicherheitslücke für betroffene Windows-PC-Versionen von ICQ zu minimieren.Abgesehen von der Windows-Version des offiziellen ICQ-Clients sollen keine weiteren Ausführungen der Software von dieser Problematik betroffen sein. Dazu gehören beispielsweise die Apps von ICQ für das iPhone, Android oder Windows Mobile.In der besagten Mitteilung wird allerdings nicht angesprochen, dass die Schwachstelle im November des vergangenen Jahres von dem Informatikstudenten Daniel Seither entdeckt wurde. Ferner heißt es, man wurde auf die Lücke selbst aufmerksam.

Quelle : http://winfuture.de

[SiLæncer]

Der Sicherheitsexperte Levent Kayan, im Internet besser als Noptrix bekannt, hat eine XSS-Schwachstelle im Windows-Client von ICQ ausfindig gemacht. Betroffen sind davon die Version 7.5 und ältere Ausführungen.

Wie bereits angesprochen lässt sich die Cross-Site-Scripting-Schwachstelle (XSS) unter Windows-Betriebssystemen (XP, Vista und 7) ausnutzen. Ein so genanntes Proof of Concept samt zugehörigem Javascript-Code hat der Experte auf seiner Webseite veröffentlicht.

Die Bedrohung für die Nutzer der Instant-Messenger-Anwendung stuft Noptrix als hoch ein. Ein Angreifer könnte seinen Beobachtungen zufolge die Session IDs der Nutzer durch diese XSS-Lücke übernehmen. Unter Umständen wäre auch ein Zugriff auf das System der Anwender möglich, wenn weitergehende Techniken miteinander kombiniert werden.

Technisch liegt dieser Problematik eine unzureichende Auswertung von Einträgen in Profileinträgen der Software zugrunde, schreibt Levent Kayan. Genau an dieser Stelle sollen die Entwickler von ICQ nun ansetzen und ein Update, welches die Schwachstelle aus der Welt schafft, auf den Weg bringen. Bislang hat ICQ nicht offiziell auf diesen Sachverhalt reagiert.

Quelle : http://winfuture.de


Nutzt eigentlich noch wer diese Spam und Virenschleuder ?

[SiLæncer]

ICQ hat über sein integriertes Update-System die kürzlich entdeckte XSS-Sicherheitslücke geschlossen. ICQ bestätigte, dass es sich um die von Levent Kayan beschriebene Schwachstelle handelte.

Die kürzlich entdeckte Cross-Site-Scripting-Schwachstelle in den Benutzerprofilen des ICQ-Clients ist geschlossen. ICQ hat die Sicherheitslücke über das integrierte Updatesystem verteilt. Benutzer müssen nicht eine neue Version der Software herunterladen und installieren. In einer E-Mail an Golem.de bestätigte ICQ, dass es sich um die von dem Berliner Entwickler und Sicherheitsexperten Levent "noptrix" Kayan entdeckte Schwachstelle handelt.

Von der XSS-Schwachstelle waren die ICQ-Benutzerprofile betroffen. Über ein Javascript konnte über gekaperte Session-IDs anderer Benutzer auf den Client und das darunter liegende Betriebssystem zugegriffen werden. ICQ will die Verwendung von Benutzer-IDs nochmals überprüfen und absichern. Zudem werde die Software auf weitere Schwachstellen überprüft, schrieb ein ICQ-Entwickler.

Laut Kayan werden Ein- und Ausgaben in Profileinträgen nicht hinreichend überprüft und bereinigt. Kayan hatte zuvor die XSS-Schwachstelle in Skype gefunden und beschrieben.

Quelle : www.golem.de