Новая уязвимость клиента и веб-сайта ICQ

Известный нам ранее Левент Каян нашел в новом «ICQ» мессенджере, который работает на оперативной системе «Windows» и на самомвеб-сайте«ICQ» содержание уязвимостей, которые потенциально позволяют злоумышленникам получить контроль над аккаунтом «ICQ», передаёт «Word-IT».

Напомним вам, что недавно Каян обнаружил «дыру» в безопасности известной в интернет телефонии программе «Skype». Каян очень внимательно проверял информацию в профилях «ICQ» пользователей и анализировал должным образом поля предназначенные для сообщений, чтобы убедиться, пропустят ли они содержат исполняемый код. Межсайтовый скриптинг позволяет злоумышленникам внедрить код JavaScript в поля для ввода данных «ICQ» профилей.

Если жертва открывает атакующий профиль в клиенте «ICQ» или на веб-сайте«ICQ», то внедрённый JavaScript код, который хранится на сервере «ICQ» будет выполнен.

Это может позволить злоумышленникам увести куки жертвы и взять под контроль её сессии. Код сценария, как представляется, выполняются в локальном контексте: поэтому, злоумышленники потенциально могут также запускать приложения и читать локальные файлы взломанного пользователя.

Такая атака называется стойким межсайтовым скриптингом. Злоумышленнику удается внедрить JavaScript код на сервер, который в последствии сработает, когда жертва посетитвеб-сайтили откроет «ICQ» приложение на компьютере. «Heise Security», опросилпресс-службу«ICQ», которая не захотела комментировать эту проблему. Также «Heise Security» удалось проверить проблему с текущей версией «ICQ» 7.5 работающей под операционной системой «Windows 7», тестирование прошло удачно.