ICQ: Schadcode durch Nutzer-Status einschmuggeln

Der Sicherheitsexperte INFIGO hat ein kritisches Sicherheitsleck in ICQ entdeckt. Der Bug rundet eine ganze Reihe von HTML-Codebasierenden Angriffsmöglichkeiten auf den beliebten Messenger ab. Bereits vor zwei Monaten berichteten wir über eine Sicherheitslücke, bei der ICQ-Messenger durch das versenden eines simplen HTML-Code-Stücks zum dauerhaften Absturz gebracht werden konnten. Das neue Sicherheitsleck ist eventuell sogar noch schlimmer, da es nicht einmal das Versenden einer Nachricht voraussetzt – es genügt den eigenen Benutzerstatus, durch einen HTML-Fetzen zu ersetzen.

Für gewöhnlich stehen Benutzerstatus wie “Nicht Verfügbar” oder “Beschäftigt” zur Verfügung. Doch Nutzer können auch einen persönlichen Zustand eingeben. Eben an dieser Stelle kommt das Sicherheitsleck zum Einsatz. Dadurch, dass nicht gewöhnlicher Text, sondern ein HTML-Befehl in das Eingabefenster eingetragen wird, kann theoretisch beliebiger Code ausgeführt werden. ICQ gab an den Fehler durch ein Auto-Update korrigieren zu wollen. (mr)