Список разделов



Поиск
введите слово для поиска
расширенный поиск




Календарь
<Август 2017>
ПнВтСрЧтПтСбВс
 123456
78910111213
14151617181920
21222324252627
28293031   
ГлавнаяВходРегистрацияПоследние статьиПоискКонтакты
   

Уязвимость форматной строки в ICQ 6 - %020000000s

Простая отправка специально подготовленного текстового сообщения (в простейшем случае - " %020000000s " ) пользователю с установленной ICQ 6.x приводит к ошибке при формировании HTML-кода, предназначенного для отображения текста в интегрированном IE-компоненте.

Ошибка эта способна привести к исполнению произвольного кода на удаленной системе, так что лучшее, что сейчас могут сделать пользователи ICQ - срочно сменить клиент, либо хотя бы запретить прием сообщений от людей не из контакт-листа (что не сильно поможет в случае эпидемии).

Обнаружена критическая уязвимость в популярном менеджере отправки мгновенных сообщений ICQ 6. Уязвимость существует из-за ошибки при обработке сообщений, содержащих символы форматной строки. Для успешной эксплуатации уязвимости, злоумышленнику требуется всего лишь отправить пользователю специально сформированное сообщение, которое может быть открыто в pop-up окне предварительного просмотра или в основном окне клиента.

Пример сообщения, которое вызывает отказ в обслуживании ICQ клиента:

"%020000000s"

Уязвимости в IM клиентах не являются ни для кого новостью, но в тоже время представляют серьезную угрозу безопасности. В 2007 году было опубликовано 16 уязвимостей в менеджерах отправки мгновенных сообщений, 5 их которых (в Trillian, MSN Messenger, Miranda и Skype) позволяли выполнение произвольного кода.

Способов устранения уязвимости не существует в настоящее время. SecurityLab рекомендует всем посетителям не пользоваться уязвимой версией ICQ до выхода исправления.

Программа: ICQ 6 build 6043, возможно более ранние версии

Опасность: Критическая

Наличие эксплоита: Да

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за ошибки форматной строки при генерации HTML кода для отображения сообщения в встроенном компоненте Internet Explorer. Удаленный пользователь может отправить специально сформированное сообщение и выполнить произвольный код на целевой системе. Пример:

Отправьте сообщение, содержащее строку "%020000000s".

URL производителя: www.icq.com/download/icq6/

Решение: Способов устранения уязвимости не существует в настоящее время.

URL адреса: 

Secunia ID: 

  • 29138



Похожие статьи


Рейтинг: 2.9/5 (1567 голосов)

Последние статьи


1: Автоматическая сверка счетов-фактур – новые возможности «1С:Бухгалтерии 8» ред. 3.0
2: Возможности CRM в 1С «Управление торговлей»
3: Настройка отчетов 1С
4: Как отразить доп. расходы в 1С?
5: Взаимозачет в 1С



Последние новости


Делец в Удмуртии на госденьги открыл нарколабораторию - УФСБ
МОСКВА, 2 ноя - РИА Новости. Следствие заподозрило жителя Удмуртии в организации нарколаборатории на полученные от государства деньги, сообщает в пятн...

Сотрудница томского вуза продавала героин около общежития

ТОМСК, 2 ноя – РИА Новости, Сергей Леваненков. Полиция задержала 58-летнюю томичку при попытке продать героин, возбуждено уголовное дело, сообщи...

Молодежную премию наноиндустрии получил автор технологии для наркоза

© РИА Новости. Сергей ПятаковМОСКВА, 1 ноя - РИА Новости. Лауреатом Российской молодежной премии в области наноиндустрии 2012 года стал заместитель ге...

Жители еще одного мексиканского города взялись за борьбу с наркомафией

МЕХИКО, 2 ноя - РИА Новости, Дмитрий Знаменский. Жители города Олинала в мексиканском штате Герреро взяли в руки оружие, чтобы противостоять попыткам ...

Бразильские студенты получали наркотики по специально вырытому туннелю

© РИА Новости. Артур ГабдрахмановМЕХИКО, 2 ноя - РИА Новости, Дмитрий Знаменский. Оригинальный способ доставки наркотиков в университет крупнейшего бр...


Послать ссылку на этот обзор другу по ICQ или E-Mail:


Разместить у себя на ресурсе или в ЖЖ:


На любом форуме в своем сообщении: