Kritické bezpečnostní chyby v ICQ

Komunikační software ICQ společnosti Mirabilis obsahuje dvě závažné bezpečnostní díry, které mohou útočníkovi posloužit k získání kontroly nad napadeným počítačem. Navíc je tu několik méně závažných bezpečnostních rizik.

Aplikace ICQ Pro 2003a a předchozí verze tohoto software pro okamžitou výměnu zpráv přes internet obsahuje podle společnosti Core Security Technologies šest bezpečnostních chyb (odkaz), mezi kterými jsou i dvě závažné mezery, které umožňují spuštění škodlivého kódu, který útočníkovi umožní kontrolovat napadený počítač. ICQ přitom používá více než 200 milionů uživatelů.

Ivan Arce, technický ředitel Core Security Technologies, ale odmítá přesněji specifikovat, jak nebezpečné používání ICQ je: „riziko spojené s každou z nalezených bezpečnostních chyb je výrazně závislé na prostředí, ve kterém lidé ICQ používají“. Core obecně ve svých bezpečnostních doporučeních nespecifikuje míru rizika, protože si nemyslíme, že přístup typu „jedna velikost padne všem“ je v oblasti bezpečnosti správný.

Tři ze zmíněných chyb se vyskytují v části aplikace, která obstarává služby spojené s emailem. Špatné zabezpečení této komponenty umožňuje potenciálním útočníkům využít způsobu, jakým ICQ pracuje s elektronickou poštou, ke spuštění vlastního kódu. Tím může být instalační rutina software pro vzdálenou správu počítače, čímž hacker získá neomezenou kontrolu nad napadeným systémem. Předpokladem pro úspěšný útok je schopnost hackera simulovat poštovní server daného uživatele ICQ.

Druhá kritický chyba, která může vyústit ve spuštění cizího kódu, se skrývá ve funkci automatického update ICQ klienta. Protože tato funkce nemá přiměřené zabezpečení, útočník může poměrně snadno předstírat, že posílá regulérní update aplikace. Místo toho ovšem může tímto způsobem dostat na cílový počítač opět nějakého červa, který vytvoří zadní vrátka k systému. Mezi méně závažnými riziky je možnost „zboření“ ICQ klienta a 100% zatížení procesoru.

Chybami zmíněnými ve zprávě Core Security Technologies trpí pouze plná verze ICQ, ICQ Lite ani webová verze ICQ2Go nejsou těmito bezpečnostními riziky postiženy. Alarmující je ale součást bezpečnostní zprávy, ve které pracovníci Core Security Technologies uvádějí, že o těchto chybách v ICQ několikrát informovali vývojářskou firmu Mirabilis, ale přes několikatýdenní čekání nedostali žádnou odpověď. K oznámení chyb se nevyjádřila ani společnost AOL, která ICQ provozuje a žádné informace nejsou dostupné v době psaní tohoto článku ani na webovských stránkách www.icq.com.

Diskuze (36) Další článek: Apple prodal na iStore přes milion skladeb

Témata článku: Software, Riziko, Bezpečnostní riziko, Cizí kód, Potenciální aplikace, ICQ, Chyba


Určitě si přečtěte

Nechcete platit za Total Commander? Těmito bezplatnými programy ho můžete nahradit

Nechcete platit za Total Commander? Těmito bezplatnými programy ho můžete nahradit

** Total Commander je na Windows takřka legendou ** Licence však stojí více než tisíc korun ** Našli jsme pro vás deset alternativ dostupných zdarma

Karel Kilián | 141

Nová zbraň Microsoftu proti iPadu: Levný tablet Surface Go bude stát jen deset tisíc

Nová zbraň Microsoftu proti iPadu: Levný tablet Surface Go bude stát jen deset tisíc

** Microsoft představil nový tablet Surface Go ** Nový model zaujme nízkou cenou, ale schopnostmi zařízení Surface ** Microsoft nepoužil čip ARM, ale klasický procesor od Intelu 

Karel Javůrek | 116

Apple: naše mapy budou nejlepší na světě. Tajně jsme na nich pracovali několik let

Apple: naše mapy budou nejlepší na světě. Tajně jsme na nich pracovali několik let

** Apple odhalil své plány na zcela nové mapy ** Několik let pracuje na nových mapách, které by měly předběhnout konkurenci ** Objeví se s příchodem iOS 12 pro vybrané státy

Karel Javůrek | 50

Alan Turing: Genius, který matematicky stvořil počítač

Alan Turing: Genius, který matematicky stvořil počítač

Řešením matematického problému se dostal k modelu teoretického stroje, který nese jeho jméno a je základem logiky univerzálních počítačů.

Pavel Tronner | 57

Portál občana už funguje. Na státní web vypadá až překvapivě použitelně

Portál občana už funguje. Na státní web vypadá až překvapivě použitelně

** Portál občana už funguje, vyřídíte na něm první požadavky ** Funkce se budou postupně rozšiřovat ** Web je docela moderní a přehledný

David Polesný | 65

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

** Sonda LRO pořídila z oběžné dráhy Měsíce zajímavé snímky ** Jsou na nich vidět artefakty všech misí programu Apolla, které přistály na povrchu Měsíce ** Jde například o části lunárních modulů, rovery a dokonce i vlajky

Petr Kubala | 60


Aktuální číslo časopisu Computer

Velký test 18 bezdrátových sluchátek

Vše o přechodu na DVB-T2

Procesory AMD opět porážejí Intel

7 NVMe M.2 SSD v přímém souboji