Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 45 reacties
Bron: Core Security Technologies, submitter: nero355

Naast het veel gebruikte MSN Messenger is ook ICQ een populair messenger-programma. Helaas voor de gebruikers van dit programma heeft het Amerikaanse Core Security Technologies een zestal veiligheidslekken ge´dentificeerd. Slechts twee van de zes lekken zijn als 'ernstig' bestempeld. In de maanden maart en april heeft Core Security de makers van ICQ, Mirabilis, proberen te bereiken. Zij reageerden echter niet op de gestuurde e-mails. Gebruikers moeten het dus nog zonder patch doen. ICQ 2003a en eerdere versies zijn allemaal gevoelig voor de bugs. De informatie over de lekken zijn gisteren naar Bugtraq gestuurd.

Drie van de zes lekken die beschreven worden hebben te maken met de ge´ntegreerde POP3-cliŰnt in ICQ. Door het sturen van een e-mail met een aangepaste subject-of datum-header kan de verzender code laten uitvoeren op de computer van de ontvanger. Bij het versturen krijgt iedere e-mail een uniek ID mee. Door een bug in de verwerking van dit ID is het mogelijk dat een aanvaller dit kan uitbuiten. Verder is er een bug ontdekt in de afbeeldingparser. Deze gaat de fout in bij het parsen van de GIF89a-headers. In ICQ zijn HTML-advertenties verwerkt. Er zit echter een bug in de library die de HTML moet parsen waardoor het mogelijk is voor iemand om foute code te sturen waardoor ICQ bevriest. De laatste bug die gevonden is stelt een aanvaller in staat om eigen software te installeren:

ICQ LogoICQ provides a semi-automated functionality for upgrading client services (i.e.: ICQ Phone, ICQ Web Search, etc) called "ICQ Features on Demand" vulnerable to a spoofing attack due to hard-coded information and lack of authentication signatures.
By taking advantage of this vulnerability, an attacker will be able to install malicious software that could lead to execution of arbitrary commands as well as other important security breaches.
Moderatie-faq Wijzig weergave

Reacties (45)

Ik heb nog nooit gehoord dat mensen misbruik hiervan hebben gemaakt terwijl ze er blijkbaar al toch een tijdje in zitten. Zijn ze dan wel zo ernstig die bugs?
Eerst maak je een lek bekend, dan gaan anderen hem zoeken.... en dan wordt het bedreigend. :)

Tenminste dat lijkt mij zo. Zo gaat het bij OE in elk geval vaak wel geloof ik.
Het wordt pas echt vervelend als andere mensen andere bugs vinden als jij.

Voor een berucht mailprogramma qua security voor *nix bleek vorig jaar dat een bug gevonden werd die er al jaren inzat. Om redenen van security (en gebruiksgemak) leveren veel linux-distributies deze MTA overigens niet standaard mee. Het feit dat het jaren duurt voor een bug wordt gevonden betekent dat het misbruiken van dergelijke bugs ook steeds moeilijker wordt.

Probleem met ICQ is verder nog dat je niet met gepast gereedschap kunt zoeken omdat het een closed source programma is. De vraag is of dat een voordeel is, want de fouten in het programma zijn ook voor goedwillenden verborgen.

Ik gebruik zelf overigens wel ICQ en het valt gewoon op hoe gebrekkig de instellingen van het protocol zelf zijn. Dat zie je erg goed als je kijkt naar de afgeleide programma's als micq, licq, kicq, etc. Hier hebben ze het slechts over fouten in aanvullende functionaliteit. Ik denk niet eens dat het in mijn client geimplementeerd is.
tja.. mijn account is laatst ineens onbruikbaar geworden. het zou me niet verbazen als deze is gehacked: ik had namelijk een 6-cijferig account en die worden gewoon verkocht op eBay. is gewoon geld waard, blijkbaar...

ik heb die lui ook proberen te bereiken, maar het is gewoon onmogelijk!
Nou jah geld waard ....
heb zo m'n vraagtekens bij die claim
net even snel gekeken op ebay, staan 2 6-cijferige icq nummers for sale en die gaan voor 30 dollar ....

mocht het nou een nulletje meer opleveren, dan misschien de moeite waard :) ...
hmm , hoeveel zal mijn icq 9151515 opleveren ? :*)
Vaag, ICQ is al jaren oud, dat ze dat nou pas ontdekken!
hallo zeg !! ICQ is al jaren oud, maar wordt wel regelmatig vernieuwd/geupdate het kan best zijn dat deze bugs niet in ICQ 2000/2001/2002 zitten/zaten hoor !!

edit:

|:( eerdere versies ook gevoelig, maar welke eerdere versies ik bedoel: er zijn nog zat mensen die ICQ 98/99a ofzo gebruiken!! zijn die dan ook gevoelig voor die lekken?
2003a en eerdere versies zijn allemaal gevoelig voor de bugs
Ofwel, alle oudere versies hebben last van deze bug. Ik zou niet weten waarom de 98 en 99 versies hier dan geen last van zouden hebben.

Verder ken ik eigenlijk niemand die nog een versie van de voor 2000 gebruikt. Maar goed, uitzonderingen zullen er altijd nog wel zijn.
de 98 en 99 versie hebben geen reclamebanners. Dus is die lek ook niet aanwezig. Als ik me goed herinner was er toen al wel een mailfunctie, maar was er geen ingebouwde pop3client en is deze lek dus ook niet aanwezig in die versies.

Daarom zijn die versies dus wel gewoon veilig (althans ze hebben deze leks niet ;) )

op deze site staan de oude versies nog. ik gebruik ze soms ook als ik bij iemand anders ICQ moet installeren :) http://www.spoutnic.com/icq/archives.asp
Er zijn mensen die nog versie 98/99 gebruiken :?
Ik ben juist verplicht overgestapt omdat deze oude versies problemen gaven met de nieuwe opzet van de servers....
Als niemand op zoek gaat naar een bug zal ook niemand ze vinden. (Tenzij per ongeluk een keer.)
De reden waarom men bij microsoft zoveel bugs vindt is daar voor een groot deel aan te wijten. Veel mensen zijn bezig met het opsporen van bugs in MS producten.
Dan worden ze ook sneller gevonden en in de openbaarheid gebracht.

/edit bericht tikkie aangepast, het leek alsof ik bedoelde dat MS zelf hard op zoek was en ik bedoel meer dat er veel mensen buiten MS op zoek zijn naar bugs in MS producten.
Dit is nou typisch een van de redenen dat er een algemene, open standaard moet komen voor Instant Messaging. Op de huidige manier met die (*@(&*#@ gesloten standaarden en servers die van 1 bedrijf zijn ben je helemaal aan zo'n bedrijf als MS en Mirabilis overgeleverd. Als zij het niet nodig vinden een update te maken of een lek te dichten dan zit jij met de problemen :\

Maar met een beetje geluk komt XMPP (aka Jabber) over een paar maanden door de IETF heen en hebben we straks een IM standaard die net zo open is als bv HTTP of SMTP.

* 786562 bartvb
Verder zit het ICQ protocol an sich ook redelijk (behooorlijk) brak in elkaar. Enige reden dat ik het nog gebruik is dat er nog redelijk wat van m'n contacts op ICQ zitten en ik MSNM nog een grotere ramp vind :\ Maar goed, echt wakker liggen van deze security bugs kan ik niet, heb Mirabilis nooit een echt sympatiek bedrijf gevonden met hun veel te bloated en gebruiksonvriendelijke clients, banners en mega wazige website *grmbl* Lang leve Trillian of Jabber clients en Jabber-ICQ transports :D Sidenote: Trillian gaat in de volgende versie ook Jabber ondersteunen :9~
Blame ao(hel)l voor de banner ontwikkeling :(

Verder gebruik ik al heel lang geen icq meer doordat mijn account opeens niet meer werkte... was een 7cijferige :? Niet echt boeiend om te hacken lijkt mij :(
"hacken" tuurlijk ;)
zal wel een te gemakkelijk password hebben gehad oid

wat wel waar is dat mede dankzij de banners er een extra bug in zit, maar ach ergens moet toch geld mee verdiend worden lijkt mij, en hoe erg is het als er een programma vast loopt? nog betere vraag, hoe vaak gaat het voorkomen voordat er een patch/oplossing is?
ik gebruik het jabber protocol :)
alleen jammer dat veel kennissen van me nog steeds msn gebruiken :(

hun moeten ook maar jabber gebruiken.
Wat ik mij afvraag is of deze problemen ook van toepassing zijn in ICQ Lite (Build #1150), aangezien de genoemde POP3-cliŰnten volgens mij hier niet ingebouwd zijn. :?
daar is dus geen probleem mee ;)
Hmm, volgens mij heb ik er geen last van, gebruik sinds een tijd Miranda ipv het ICQ programma..
Maar goed, als je de mailfunctie niet gebruikt, en een versie van ICQ pakt zonder advertenties (als die er nog is) zou je dus nergens last van moeten hebben.
Door het sturen van een e-mail met een aangepaste subject-of datum-header kan de verzender code laten uitvoeren op de computer van de ontvanger.
Klinkt eggdropperig.

Belachelijk dat er uberhaupt nog programmeurs rondlopen die niet eens een fatsoenlijke maxlimit op hun inputvelden zetten.

Wijze les voor de T.net lezertjes: Als je 10 bytes aan geheugen declareert, zorg dan ook dat de user niet meer dan 10 bytes aan info kan invoeren. Is dat wel mogelijk, dan kan er programmacode worden overschreven.

En da's nie goed!
Hmm dat zou ik wel vreemd vinden. Als ik het mij goed herinner zie ik ook wel regelmatig nieuwsberichten voorbij komen dat MSN messenger veiligheidsgaten heeft.

Daarnaast is de kans dat je getroffen wordt door een hack volgens mij ook niet super groot. Het ene lek heeft te maken met de mailfunctie van ICQ, iets dat niet al te veel mensen gebruiken. Het tweede grote lek heeft te maken met de headers. Deze is op zich wat gevaarlijker in mijn ogen. Maar ook daar voorzie ik voorlopig niet echt een groot toepasbaar gebied. (Sowieso gebruiken ook al veel mensen een hackprog om de banners weg te krijgen.....)

Maar ik denk dat het in elk geval niet zo mag zijn dat je nu opeens kunt zeggen dat MSN messenger veiliger is....
Ik vind ICQ maar klote, zelf ben ik via Trillian op alle services ingelogged en de als er problemen zijn, dan ist het bijna altijd ICQ, ook veel spam die via ICQ binnenkomt :( maar MSN server durft ook al eens plat liggen op spitsuren :( Yahoo is dan het enige dat stabiel werkt.
In ICQ kan je onder "Main - Spam Controle" genoeg instellen om het aantal spam drastisch of geheel te verkomen/verminderen. ;)
Ik ben alvast gaan dweilen.
Ik zou maar vast een pomp gaan huren voor als er een lek in MSN Messenger onstaat }>.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True