27.07.2011 11:45
ICQ anfällig für Account-Diebstahl Update
Der Instant Messenger ICQ für Windows und die ICQ-Website weisen Schwachstellen auf, durch die ein Angreifer die Kontrolle über den ICQ-Account gewinnen kann, warnt der Sicherheitsforscher Levent Kayan in Security-Advisories zu ICQ und der dazugehörigen Website. ICQ prüft gleich Angaben in den Nutzerprofilen nicht ausreichend und auch die durch den Benutzer frei wählbaren Statusmeldungen werden nicht genau genug auf ausführbaren Code analysiert. Eine ähnliche Lücke hatte Kayan kürzlich bereits im Skype-Client entdeckt.
Durch eine Cross-Site-Scripting-Lücke können Angreifer JavaScript-Code in ihrem ICQ-Profil unterbringen.
Bild: heise Security
Öffnet das Opfer im ICQ-Client oder auf der ICQ-Webseite das Profil des Angreifers, wird der auf dem ICQ-Server platzierte JavaScript-Code ausgeführt. Dadurch könnte der Angreifer etwa das Cookie des Opfers stehlen, mit dem er dessen Sitzung übernehmen kann. Es sieht so aus, als wird der Scriptcode in einem lokalen Kontext ausgeführt: Damit ist prinzipiell dann auch das Ausführen von Anwendungen und das Auslesen von lokalen Dateien möglich.
Beim sogenannten persistenten Cross-Site-Scripting gelingt es dem Angreifer, JavaScript-Code auf dem verwundbaren Server zu hinterlegen, der beim Opfer durch den Besuch einer Webseite oder die Nutzung eines Programms ausgeführt wird. Gegenüber heise Security wollte die Presseagentur von ICQ das Problem nicht kommentieren. Wir konnten das Problem mit der aktuellen ICQ-Version 7.5 unter Windows 7 nachvollziehen.
Update: Die Presseagentur von ICQ gab gegenüber heise Security bekannt, dass die Entwickler das Problem erkannt haben und "auf einem guten Wege" seien, es zu beheben.
(rei)
Cross-Site-Scripting (XSS) ist eine der größten Plagen, mit denen Webmaster zu kämpfen haben. Der neue Standard "Content Security Policy" soll endlich Abhilfe schaffen. 
Wie schwer ist es, einen Hotelsafe zu knacken? heise Security hat es spontan ausprobiert – mit einem überraschenden Ergebnis. 
Was ist echt und was ist falsch? Echte Benachrichtigungen von Firmen sind kaum noch von Phishingmails zu unterscheiden. Trotzdem wird von uns erwartet, dass wir den Durchblick behalten. So funktioniert das nicht. 
Die Weboberfläche zur Verwaltung von ProLiant- und Integrity-Servern enthält eine kritische Sicherheitslücke. 
Eine Lücke, viele Updates: Adobe hat ein kritisches Sicherheitsloch gestopft und neue Flash- und Air-Versionen für sämtliche Plattformen veröffentlicht. 
Am Juni-Patchday hat Microsoft zahlreihe Lücken in Windows, Internet Explorer und Office geschlossen. Eine Rechteausweitungslücke, für die bereits ein Exploit im Netz kursiert, hat die Redmonder Softwareschmiede dabei jedoch offenbar ausgelassen. 
