Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Новости » В клиенте и на официальном сайте ICQ обнаружены XSS-уязвимости
Новости

В клиенте и на официальном сайте ICQ обнаружены XSS-уязвимости

автор: Administrator | 29 июля 2011, 16:26 | Просмотров: 16475
теги: ICQ, XSS



В клиенте и на официальном сайте ICQ обнаружены XSS-уязвимости Эксперт в области информационной безопасности Levent Kayan обнаружил в популярном клиенте службы мгновенного обмена сообщениями ICQ и на официальном сайте www.icq.com опасные XSS-уязвимости которые могут быть использованы для кражи пользовательских куки.

Левент Каян предупреждает, что программное обеспечение обмена мгновенными сообщениями ICQ для Windows не защищает от внедрения javascript-кода в статус-сообщения пользователя. Данная XSS-уязвимость в клиенте ICQ означает, что этот javascript код может быть запущен на компьютере жертвы при условии, если она откроет статус-сообщение с ловушкой используя уязвимый ICQ клиент.

Данная техника может быть использована для кражи сессионных куки, что позволяет захватчику выдать себя за жертву или (с большими усилиями) получить доступ к локальным файлам на взломанном ПК.

XSS-уязвимость в клиенте ICQXSS-уязвимость в клиенте ICQ


Обнаруженная XSS-уязвимость на веб-сайте ICQ позволяет получить доступ к информации о текущей сессии пользователя, который просматривает страницу профиля с внедренным javascript-кодом. Внедрение кода происходит через блок каналов („feed”) профиля пользователя. Действие XSS-уязвимости существенно расширяется возможностью её использования на всех популярных веб-браузерах. Использование текущей сессии пользователя может быть использовано злоумышленниками для получения контроля над учетной записью пользователя ICQ.
XSS-уязвимость на веб-сайте ICQXSS-уязвимость на веб-сайте ICQ


Специалистам компании Heise Security удалось проэксплуатировать уязвимость, обнаруженную Каяном, используя вредоносные javascript-коды в последней версии месенджера IСQ 7.5. Администрация популярного сервиса мгновенных сообщений заявила, что их сотрудники находятся в процессе разработки и тестирования обновления безопасности которое закроет XSS-уязвимость.

Хочу напомнить, что недавно Levent Kayan обнаружил подобную XSS-уязвимость в клиенте Skype, которая может позволить получить атакующему доступ к аккаунту пользователя.

Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.