Kritische Lücke in Instant Messenger ICQ

Mit manipulierten Nachrichten ist es möglich, den Instant-Messenger ICQ 6 zum Absturz zu bringen. Ursache des Problems ist eine Format-String-Schwachstelle bei der Verarbeitung von HTML-Messages, die Format-String-Specifier wie %020000000s enthalten. Nach Einschätzung der Sicherheitsdienstleister Secunia und FrSIRT lässt sich die Lücke auch zum Einschleusen und Ausführen von Code ausnutzen. Ob es bereits einen Exploit gibt oder die Annahme auf eigenen Analysen beruhen, schreiben sie nicht.

Betroffen ist die Version ICQ 6 Build 6043. Andere Versionen enthalten den Fehler sehr wahrscheinlich auch. Ein Update gibt es noch nicht. Einen gewissen Schutz vor den Angriffen durch beliebige Personen bietet die Möglichkeit, nur Nachrichten von bekannten Kontakten zu akzeptieren und nicht näher bekannte Kontakte aus seiner Liste zu streichen. Nachrichten unbekannter Personen sollte man dann verwerfen.

Der ursprüngliche Entdecker des Fehlers erinnert im Rahmen seines Blog-Eintrags an eine seit Mitte des letzten Jahres bekannte, aber bislang noch ungepatche Schwachstelle im Internet Explorer 6 und 7, die zum Absturz des Browsers führt. Dazu genügt in einem HTML-Dokument die Zeile:

<style>*{position:relative}</style><table><input></table>

Da ICQ für das Rendering von HTML-Nachrichten die Funktionsbibliotheken des Microsoft-Browsers benutzt, ist auch der Instant-Messenger an dieser Stelle verwundbar.

Siehe dazu auch:

• ICQ6 User crashen, Blog-Eintrag auf Raid-Rush

(dab/c't)