Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
29/07/2011
De acuerdo con Kayan, ICQ no comprueba adecuadamente la información del perfil del usuario y falla a la hora de comprobar el mensaje de estado, que se puede escoger libremente, y verificar si el mensaje contiene código ejecutable. Este agujero de seguridad llamado cross-site scripting permite al atacante colocar código JavaScript en su perfil de ICQ.
Si la victima abre el perfil ICQ del atacante con su cliente ICQ o a traves de la web, el código JavaSCript embebido en el servidor ICQ se ejecutará. Esto permite a los atacantes, por ejemplo, robar las cookies de las victimas y tomar el control de sus sesiones. El script parece ser ejecutado en la máquina local, por lo que los atacantes podrían además ejecutar aplicaciones y leer archivos del usuario.
La compañia desarrolladora de ICQ le ha comentado a heise Security que los desarrolladores han identificado el problema y están en el buen camino para arreglarlo.
Sistemas Afectados:
El problema afecta a la versión actual 7.5 para Windows 7.
Referencias:None
Solución:No existe actualmente una solución que arregle el problema.
Notas:http://www.h-online.com/security/news/item/ICQ-vulnerable-to-account-theft-Update-1286231.html