омпания Core Security Technologies обнаружила целых шесть уязвимостей безопасности последнего клиента для сетей ICQ – версии ICQ Pro 2003a, причем две из них являются критическими. Стоит заметить, что сотрудники компании подготовили отчет по обнаруженным им ошибкам еще месяц назад, однако, по их словам, они за это время так и не смогли выйти на контакт с представителями корпорации AOL, которая сейчас владеет ICQ.
Три бреши из шести, в том числе и одна серьезная, были обнаружены в коде e-mail-клиента ICQ Pro 2003a. Из-за ошибки в этом компоненте злоумышленник может запустить произвольный программный код на компьютере пользователя, у которого стоит эта версия ICQ, если ему удастся выдать свой POP3-сервер за тот, которым пользуется клиент. Остальные уязвимости были обнаружены в коде компонента ICQ, который отвечает за добавление дополнительных плагинов клиента по запросу. Используя эти ошибки, хакер может загрузить на компьютер клиента произвольный код, выдав его за плагин к ICQ-клиенту.
Уязвимости подвержена не только ICQ Pro 2003a, но и предыдущие версии клиента. Однако версия ICQ Lite, выпущенная в прошлом году, свободна от этих ошибок – просто потому, что в ней нет компонентов, в которых были найдены эти уязвимости. Судя по тому, как AOL отнеслась к сообщениям об ошибках, ждать исправлений придется еще долго. Впрочем, самый верный путь не подцепить чего-нибудь ненужное – просто не использовать функции ICQ, в которых выявлены бреши. |
