Kritické bezpečnostní chyby v ICQ

Komunikační software ICQ společnosti Mirabilis obsahuje dvě závažné bezpečnostní díry, které mohou útočníkovi posloužit k získání kontroly nad napadeným počítačem. Navíc je tu několik méně závažných bezpečnostních rizik.

Aplikace ICQ Pro 2003a a předchozí verze tohoto software pro okamžitou výměnu zpráv přes internet obsahuje podle společnosti Core Security Technologies šest bezpečnostních chyb (odkaz), mezi kterými jsou i dvě závažné mezery, které umožňují spuštění škodlivého kódu, který útočníkovi umožní kontrolovat napadený počítač. ICQ přitom používá více než 200 milionů uživatelů.

Ivan Arce, technický ředitel Core Security Technologies, ale odmítá přesněji specifikovat, jak nebezpečné používání ICQ je: „riziko spojené s každou z nalezených bezpečnostních chyb je výrazně závislé na prostředí, ve kterém lidé ICQ používají“. Core obecně ve svých bezpečnostních doporučeních nespecifikuje míru rizika, protože si nemyslíme, že přístup typu „jedna velikost padne všem“ je v oblasti bezpečnosti správný.

Tři ze zmíněných chyb se vyskytují v části aplikace, která obstarává služby spojené s emailem. Špatné zabezpečení této komponenty umožňuje potenciálním útočníkům využít způsobu, jakým ICQ pracuje s elektronickou poštou, ke spuštění vlastního kódu. Tím může být instalační rutina software pro vzdálenou správu počítače, čímž hacker získá neomezenou kontrolu nad napadeným systémem. Předpokladem pro úspěšný útok je schopnost hackera simulovat poštovní server daného uživatele ICQ.

Druhá kritický chyba, která může vyústit ve spuštění cizího kódu, se skrývá ve funkci automatického update ICQ klienta. Protože tato funkce nemá přiměřené zabezpečení, útočník může poměrně snadno předstírat, že posílá regulérní update aplikace. Místo toho ovšem může tímto způsobem dostat na cílový počítač opět nějakého červa, který vytvoří zadní vrátka k systému. Mezi méně závažnými riziky je možnost „zboření“ ICQ klienta a 100% zatížení procesoru.

Chybami zmíněnými ve zprávě Core Security Technologies trpí pouze plná verze ICQ, ICQ Lite ani webová verze ICQ2Go nejsou těmito bezpečnostními riziky postiženy. Alarmující je ale součást bezpečnostní zprávy, ve které pracovníci Core Security Technologies uvádějí, že o těchto chybách v ICQ několikrát informovali vývojářskou firmu Mirabilis, ale přes několikatýdenní čekání nedostali žádnou odpověď. K oznámení chyb se nevyjádřila ani společnost AOL, která ICQ provozuje a žádné informace nejsou dostupné v době psaní tohoto článku ani na webovských stránkách www.icq.com.

Diskuze (36) Další článek: Apple prodal na iStore přes milion skladeb

Témata článku: Software, Chyba, Cizí kód, Riziko, Potenciální aplikace, Bezpečnostní riziko, ICQ

Určitě si přečtěte


Aktuální číslo časopisu Computer

Jak rychlé je nabíjení bez drátů?

Test 11 sluchátek pro hráče

Aplikace, které vám zachrání dovolenou

Kompletní přehled datových tarifů