[NEWS] ICQ Message Processing Format String Vulnerability

c.m.g · 29-02-2008, 09:10

28 febbraio 2008

La società di sicurezza Secunia riporta un advisory (SA29138) in cui si spiega che B0B ha scoperto un bug nel noto software di IM ICQ 6.x, giudicata dalla stessa come Highly critical, che può essere usato da malintenzionati per compromettere il sistema di un'altro utente da remoto.

La vulnerabilità è causata da un errore del formato stringa quando si genera codice HTML per visualizzare i messaggi in alcuni componenti di Internet Explorer che possono essere usati da attacker per inviare dei messaggi creati ad hoc contenenti formati stringe specifiche di un altro utente.
Ne consegue che questo può essere usato per eseguire codice arbitrario per compromettere la macchina di un utente da remoto.

La vulnerabilità è stata confermata in ICQ 6 build 6043 ma non si esclude che anche altre versioni siano affette.

Soluzione:
Al momento non sono state rilasciate patch risolutive da parte del produttore ma si consiglia di abilitare la funzione "accetta messaggi solo da parte dei contatti" e rimuovere contatti poco affidabili dalla lista contatti.

Se la funzione "Chiedimi prima di visualizzare i messaggi da parte di persone che non conosco" è abilitata, rifiuta quei messaggi in entrata.

Advisory d'origine:
http://board.raidrush.ws/showthread.php?t=386983

Fonte: Secunia

c.m.g · 29-02-2008, 09:11

ripreso anche da security focus:

http://www.securityfocus.com/bid/28027

@Sirio@ · 29-02-2008, 20:41

Ho fatto un controllo con Secunia PSI rc1 e ICQ v 5.1 risulta essere patched.

29-02-2008, 09:10	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] ICQ Message Processing Format String Vulnerability 28 febbraio 2008 La società di sicurezza Secunia riporta un advisory (SA29138) in cui si spiega che B0B ha scoperto un bug nel noto software di IM ICQ 6.x, giudicata dalla stessa come Highly critical, che può essere usato da malintenzionati per compromettere il sistema di un'altro utente da remoto. La vulnerabilità è causata da un errore del formato stringa quando si genera codice HTML per visualizzare i messaggi in alcuni componenti di Internet Explorer che possono essere usati da attacker per inviare dei messaggi creati ad hoc contenenti formati stringe specifiche di un altro utente. Ne consegue che questo può essere usato per eseguire codice arbitrario per compromettere la macchina di un utente da remoto. La vulnerabilità è stata confermata in ICQ 6 build 6043 ma non si esclude che anche altre versioni siano affette. Soluzione: Al momento non sono state rilasciate patch risolutive da parte del produttore ma si consiglia di abilitare la funzione "accetta messaggi solo da parte dei contatti" e rimuovere contatti poco affidabili dalla lista contatti. Se la funzione "Chiedimi prima di visualizzare i messaggi da parte di persone che non conosco" è abilitata, rifiuta quei messaggi in entrata. Advisory d'origine: http://board.raidrush.ws/showthread.php?t=386983 Fonte: Secunia __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

29-02-2008, 09:11	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	ripreso anche da security focus: http://www.securityfocus.com/bid/28027 __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

29-02-2008, 20:41	#3
@Sirio@ Bannato Iscritto dal: May 2007 Città: London Messaggi: 3186	Ho fatto un controllo con Secunia PSI rc1 e ICQ v 5.1 risulta essere patched.

Strumenti
Mostra una versione stampabile Invia questa pagina per email