Der Instant Messenger ICQ kann mit HTML-Nachrichten zum Absturz gebracht werden, die bestimmte Eigenschaften haben. Möglicherweise lässt sich auf diesem Weg auch Malware einschleusen.
Der beliebte Instant Messenger ICQ demonstriert einmal mehr, dass es keine wirklich gute Idee ist, den Internet Explorer oder dessen Komponenten als Ersatz für eigene Funktionen zur Darstellung von HTML-formatierten Inhalten zu verwenden. Der Sicherheitsdienstleister Secunia berichtet in einer Sicherheitsmeldung über eine Schwachstelle in ICQ, die durch eine fehlerhafte Verarbeitung von HTML-Nachrichten mit IE-Komponenten entsteht.
Secunia stuft die Sicherheitslücke als "Highly critical" ein, die zweithöchste Stufe. Demnach genügt es einem ICQ-Nutzer eine HTML-Nachricht zu senden, die bestimmte kodierte Zeichen enthält, so genannte Format String Specifiers. Um den Angriff komplett zu machen, muss noch eine zweite Nachricht hinterher geschickt werden, die dann den vorbereiteten Absturz auslöst. Der Messenger kann danach auch nicht wieder gestartet werden, da er gleich wieder abstürzt.
Betroffen ist nach Angabe von Secunia ICQ 6 Build 6043, vermutlich jedoch zumindest alle 6er Versionen von ICQ. Ein Update vom Hersteller, das die Schwachstelle beseitigen könnte, gibt es bislang noch nicht. Problematisch ist dabei, dass sich diese Schwachstelle nicht nur zu DoS-Angriffen auf ICQ-Nutzer verwenden lässt sondern laut Secunia auch zum Einschleusen von Malware.
Sie sollten daher keine Nachrichten von Unbekannten annehmen und ICQ so einstellen, dass nur Nachrichten von Personen in der Kontaktliste akzeptiert werden. Alternativ können Sie auch einen der kostenlos erhältlichen Multiprotokoll-Messenger wie zum Beispiel Pidgin (vormals Gaim), Miranda oder Trillian ausweichen.
Quelle:
http://www.pcwelt.de/start/sicherhei...n/news/149363/