Hi,

eine Meldung die schon ein paar Tage alt ist, aber trotzdem wichtig ist denke ich.
Hat ein Kumpel bei mir gemacht, danach funzt nix mehr. ICQ verbraucht 95% CPU und 250MB RAM.
Also solltet ihr im Moment lieber Miranda oder QIP verwenden.


Mit manipulierten Nachrichten ist es möglich, den Instant-Messenger ICQ 6 zum Absturz zu bringen. Ursache des Problems ist eine Format-String-Schwachstelle bei der Verarbeitung von HTML-Messages, die Format-String-Specifier wie %020000000s enthalten. Nach Einschätzung der Sicherheitsdienstleister Secunia und FrSIRT lässt sich die Lücke auch zum Einschleusen und Ausführen von Code ausnutzen. Ob es bereits einen Exploit gibt oder die Annahme auf eigenen Analysen beruhen, schreiben sie nicht.

Betroffen ist die Version ICQ 6 Build 6043. Andere Versionen enthalten den Fehler sehr wahrscheinlich auch. Ein Update gibt es noch nicht. Einen gewissen Schutz vor den Angriffen durch beliebige Personen bietet die Möglichkeit, nur Nachrichten von bekannten Kontakten zu akzeptieren und nicht näher bekannte Kontakte aus seiner Liste zu streichen. Nachrichten unbekannter Personen sollte man dann verwerfen.
Der ursprüngliche Entdecker des Fehlers erinnert im Rahmen seines Blog-Eintrags an eine seit Mitte des letzten Jahres bekannte, aber bislang noch ungepatche Schwachstelle im Internet Explorer 6 und 7, die zum Absturz des Browsers führt. Dazu genügt in einem HTML-Dokument die Zeile:
<style>*{position:relative}</style><table><input></table>
Da ICQ für das Rendering von HTML-Nachrichten die Funktionsbibliotheken des Microsoft-Browsers benutzt, ist auch der Instant-Messenger an dieser Stelle verwundbar.
Siehe dazu auch:

• ICQ6 User crashen, Blog-Eintrag auf Raid-Rush

(dab/c't)

Quelle: heise online - Kritische Lücke in Instant Messenger ICQ

__________________