Kritické bezpečnostní chyby v ICQ

Komunikační software ICQ společnosti Mirabilis obsahuje dvě závažné bezpečnostní díry, které mohou útočníkovi posloužit k získání kontroly nad napadeným počítačem. Navíc je tu několik méně závažných bezpečnostních rizik.

Aplikace ICQ Pro 2003a a předchozí verze tohoto software pro okamžitou výměnu zpráv přes internet obsahuje podle společnosti Core Security Technologies šest bezpečnostních chyb (odkaz), mezi kterými jsou i dvě závažné mezery, které umožňují spuštění škodlivého kódu, který útočníkovi umožní kontrolovat napadený počítač. ICQ přitom používá více než 200 milionů uživatelů.

Ivan Arce, technický ředitel Core Security Technologies, ale odmítá přesněji specifikovat, jak nebezpečné používání ICQ je: „riziko spojené s každou z nalezených bezpečnostních chyb je výrazně závislé na prostředí, ve kterém lidé ICQ používají“. Core obecně ve svých bezpečnostních doporučeních nespecifikuje míru rizika, protože si nemyslíme, že přístup typu „jedna velikost padne všem“ je v oblasti bezpečnosti správný.

Tři ze zmíněných chyb se vyskytují v části aplikace, která obstarává služby spojené s emailem. Špatné zabezpečení této komponenty umožňuje potenciálním útočníkům využít způsobu, jakým ICQ pracuje s elektronickou poštou, ke spuštění vlastního kódu. Tím může být instalační rutina software pro vzdálenou správu počítače, čímž hacker získá neomezenou kontrolu nad napadeným systémem. Předpokladem pro úspěšný útok je schopnost hackera simulovat poštovní server daného uživatele ICQ.

Druhá kritický chyba, která může vyústit ve spuštění cizího kódu, se skrývá ve funkci automatického update ICQ klienta. Protože tato funkce nemá přiměřené zabezpečení, útočník může poměrně snadno předstírat, že posílá regulérní update aplikace. Místo toho ovšem může tímto způsobem dostat na cílový počítač opět nějakého červa, který vytvoří zadní vrátka k systému. Mezi méně závažnými riziky je možnost „zboření“ ICQ klienta a 100% zatížení procesoru.

Chybami zmíněnými ve zprávě Core Security Technologies trpí pouze plná verze ICQ, ICQ Lite ani webová verze ICQ2Go nejsou těmito bezpečnostními riziky postiženy. Alarmující je ale součást bezpečnostní zprávy, ve které pracovníci Core Security Technologies uvádějí, že o těchto chybách v ICQ několikrát informovali vývojářskou firmu Mirabilis, ale přes několikatýdenní čekání nedostali žádnou odpověď. K oznámení chyb se nevyjádřila ani společnost AOL, která ICQ provozuje a žádné informace nejsou dostupné v době psaní tohoto článku ani na webovských stránkách www.icq.com.

Diskuze (36) Další článek: Apple prodal na iStore přes milion skladeb

Témata článku: Software, Chyba, Bezpečnostní riziko, ICQ, Cizí kód, Riziko, Potenciální aplikace


Určitě si přečtěte

22 užitečných rozšíření pro Chrome: Naučte prohlížeč nové věci

22 užitečných rozšíření pro Chrome: Naučte prohlížeč nové věci

** Prohlížeč Chrome obsahuje širokou škálu funkcí, neumí ale všechno ** Jeho schopnosti můžete rozšířit pomocí rozšíření ** Vybrali jsme pro vás zajímavé a užitečné doplňky

Karel Kilián | 16

Blíží se HTTP/3: Web bude rychlejší a bude používat úplně jinou technologii

Blíží se HTTP/3: Web bude rychlejší a bude používat úplně jinou technologii

** Příští verze klíčového protokolu HTTP nebude postavená na TCP ** Namísto toho použije „vylepšené UDP“ ** HTTP/3 bude postavené na QUIC

Jakub Čížek | 60

Moral machine: Už víme, zdali je lepší zabít psy, sebe nebo matky na přechodu

Moral machine: Už víme, zdali je lepší zabít psy, sebe nebo matky na přechodu

** Jak byste se sami vypořádali s tramavajovým dilematem? ** Vědci před lety spustili globální dotazník ** Nyní se pochlubili s výsledky

Jakub Čížek | 154

Notebook do 10 000 korun: Co koupit a čemu se raději vyhnout

Notebook do 10 000 korun: Co koupit a čemu se raději vyhnout

** Do deseti tisíc korun lze dnes koupit slušné notebooky ** V nabídce ale převládají zastaralé a pomalé modely ** Poradíme, jak dobře vybrat i s omezeným rozpočtem

David Polesný | 75

Nový iPhone a další novinky Applu: sledujte, na co se zase budou stát fronty

Nový iPhone a další novinky Applu: sledujte, na co se zase budou stát fronty

** Apple dnes představuje nové produkty v čele s novými iPhony ** Nemusí zůstat jen u telefonů, čekají se i další novinky ** Úvodní přednáška začíná v 19:00 našeho času

David Polesný | 57

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

** Přečerpávací vodní elektrárna Dlouhé stráně je obdivuhodné technické dílo ** Stejná turbína vyrábí elektřinu i tlačí vodu zpět do horního jezera ** Strojovna elektrárny je zabudována v podzemí

David Polesný | 36



Aktuální číslo časopisu Computer

Jak nastavit a ochránit nový mobil

Velký test bezdrátových klávesnicí a myší

Počítače v roce 2019

Srovnání barevných laserových multifunkcí