1078528

Datenleck auch bei ICQ

28.07.2011 | 06:42 Uhr |

Der Entdecker der kürzlich gemeldeten Skype-Lücke hat eine ganz ähnliche Schwachstelle im Instant Messenger ICQ entdeckt. Wiederum handelt es sich um eine XSS-Lücke, die es einem Angreifer erlaubt die ICQ-Sitzung eines Opfers zu kapern

ICQ 3.0 X
Vergrößern ICQ 3.0 X

Im Chat-Programm ICQ bis zur aktuellen Version 7.5 steckt eine Sicherheitslücke, die einer Mitte Juli entdeckten Skype-Lücke verblüffend ähnelt. Es handelt sich um eine XSS-Schwachstelle (Cross-site Scripting), die ein Angreifer ausnutzen kann, indem er Javascript-Code in sein Profil oder seine Statusmeldungen einbaut. Damit könnte er die ICQ-Sitzung eines Chat-Partners kapern und womöglich sogar Code einschleusen.

Der in Berlin lebende Armenier Levent Kayan hat vor zwei Wochen eine vom Hersteller inzwischen Server-seitig behobene Schwachstelle in Skype aufgedeckt. Praktisch den gleichen Fehler hat Kayan nun auch bei ICQ ausgemacht. Auch die möglichen Folgen gleichen denen bei Skype.

ICQ-Lücke wie in Skype
Vergrößern ICQ-Lücke wie in Skype

Fügt ein Angreifer Javascript-Code in sein ICQ-Profil oder in Benutzer-definierte Statusmeldungen ein, werden diese von ICQ nicht ausreichend gefiltert. Sie liegen auf dem ICQ-Server, sodass wie bei Skype eine Abhilfe ohne Änderungen an der Client-Software möglich sein sollte. Eine Stellungnahme seitens ICQ steht noch aus.

Vergleichbare Sicherheitslücken könnten auch noch in weiteren Instant-Messaging-Diensten sowie in in Web-basierten Chats stecken. Diese zu finden sollte nicht allzu schwer sein.

0 Kommentare zu diesem Artikel
1078528