Biztonsági rés az AOL ICQ-ban

Tóth Kristóf, 2002. január 27. 22:16
Az America OnLine (AOL) ICQ csevegőprogramjában egy olyan biztonsági hiba található, amelyet kihasználva a hackerek bármilyen rosszindulatú kódot lefuttathatnak a felhasználók számítógépén.
A problémát a Computer Emergency Response Team (CERT - Számítógépes Vészhelyzeti Gyorsreagálású Csoport) fedezte fel, és hozta nyilvánosságra az elmúlt napokban. Az AOL természetesen azonnal orvosolta a problémát saját szerverein, a társaság azonban arra kéri az ICQ program felhasználóit, frissítsék csevegőprogramjukat arra az új változatra, amely már mentes a biztonsági hibától. A CERT koordinációs központja szerint ugyanis a szerverek javítása nem jelent teljes megoldást a problémára.

A napokban felfedezett biztonsági rés az AOL Mirabilis ICQ 2001A, illetve korábbi verzióit, valamint a Voice Video & Games plug-in 2001B Beta v5.18 Build #3659 és korábbi változatait érinti, közölte a CERT/CC. A most felfedezett biztonsági hiba hasonló ahhoz a biztonsági réshez, amely az AOL Instant Messenger nevű csevegőprogramjában bukkant fel január elején.

A CERT jelentése szerint a Buffer Overflow típusú biztonsági hiba minden 2001B előtti ICQ-változatnak része, a 2001B és későbbi változatok esetén pedig egy plug-inben található a hibás kód. Az AOL szerverjavítása letiltja a problémás plug-int az ICQ 2001B és újabb változatai esetében, így ezek a változatok tulajdonképpen már védettek a problémát kihasználó támadások ellen. Az America OnLine ennek ellenére a biztonság kedvéért minden felhasználót arra kér, frissítse ICQ programját a legújabb, 2001B Beta v5.18 Build #3659 verzióra.

Az ICQ legújabb változata letölthető a http://www.icq.com/download címről.