Zes lekken in ICQ geïdentificeerd

Naast het veel gebruikte MSN Messenger is ook ICQ een populair messenger-programma. Helaas voor de gebruikers van dit programma heeft het Amerikaanse Core Security Technologies een zestal veiligheidslekken geïdentificeerd. Slechts twee van de zes lekken zijn als 'ernstig' bestempeld. In de maanden maart en april heeft Core Security de makers van ICQ, Mirabilis, proberen te bereiken. Zij reageerden echter niet op de gestuurde e-mails. Gebruikers moeten het dus nog zonder patch doen. ICQ 2003a en eerdere versies zijn allemaal gevoelig voor de bugs. De informatie over de lekken zijn gisteren naar Bugtraq gestuurd.

Drie van de zes lekken die beschreven worden hebben te maken met de geïntegreerde POP3-cliënt in ICQ. Door het sturen van een e-mail met een aangepaste subject-of datum-header kan de verzender code laten uitvoeren op de computer van de ontvanger. Bij het versturen krijgt iedere e-mail een uniek ID mee. Door een bug in de verwerking van dit ID is het mogelijk dat een aanvaller dit kan uitbuiten. Verder is er een bug ontdekt in de afbeeldingparser. Deze gaat de fout in bij het parsen van de GIF89a-headers. In ICQ zijn HTML-advertenties verwerkt. Er zit echter een bug in de library die de HTML moet parsen waardoor het mogelijk is voor iemand om foute code te sturen waardoor ICQ bevriest. De laatste bug die gevonden is stelt een aanvaller in staat om eigen software te installeren:

ICQ LogoICQ provides a semi-automated functionality for upgrading client services (i.e.: ICQ Phone, ICQ Web Search, etc) called "ICQ Features on Demand" vulnerable to a spoofing attack due to hard-coded information and lack of authentication signatures.
By taking advantage of this vulnerability, an attacker will be able to install malicious software that could lead to execution of arbitrary commands as well as other important security breaches.

Door Harm Hilvers

Freelance nieuwsposter

Feedback • 06-05-2003 19:24
45 • submitter: nero355

06-05-2003 • 19:24

45

Submitter: nero355

Bron: Core Security Technologies

Lees meer

ICQ Lite

geen prijs bekend

ICQ Pro

geen prijs bekend

ICQ 5 gelanceerd inclusief VoIP-mogelijkheden
ICQ 5 gelanceerd inclusief VoIP-mogelijkheden Nieuws van 8 februari 2005
Licq

geen prijs bekend

Externe spellen en andere applicaties in ICQ 4 verwacht
Externe spellen en andere applicaties in ICQ 4 verwacht Nieuws van 17 april 2004
Drie miljoen Nederlanders gebruiken MSN Messenger
Drie miljoen Nederlanders gebruiken MSN Messenger Nieuws van 6 juni 2003
Kazaa haalt ICQ in als populairste programma
Kazaa haalt ICQ in als populairste programma Nieuws van 23 mei 2003
AOL moet instant messaging netwerken delen
AOL moet instant messaging netwerken delen Nieuws van 23 juli 2001
MSN Messenger streeft ICQ voorbij
MSN Messenger streeft ICQ voorbij Nieuws van 14 mei 2001
Nieuw universeel instant messaging protocol
Nieuw universeel instant messaging protocol Nieuws van 9 februari 2001
Oekraïners ontwikkelen spionage plug-in voor ICQ
Oekraïners ontwikkelen spionage plug-in voor ICQ Nieuws van 2 februari 2001
ICQ 2000a krijgt banners
ICQ 2000a krijgt banners Nieuws van 27 juli 2000
Meer producten en artikelen
Systeem- en netwerkutility's Software

Reacties (45)

-Moderatie-faq
45
39
29
15
4
0
Wijzig sortering

Sorteer op:

Weergave:
The Dutch Dude 6 mei 2003 19:32
Ik heb nog nooit gehoord dat mensen misbruik hiervan hebben gemaakt terwijl ze er blijkbaar al toch een tijdje in zitten. Zijn ze dan wel zo ernstig die bugs?
ArthurMorgan @The Dutch Dude6 mei 2003 19:42
Eerst maak je een lek bekend, dan gaan anderen hem zoeken.... en dan wordt het bedreigend. :)

Tenminste dat lijkt mij zo. Zo gaat het bij OE in elk geval vaak wel geloof ik.
Verwijderd @ArthurMorgan7 mei 2003 00:22
Het wordt pas echt vervelend als andere mensen andere bugs vinden als jij.

Voor een berucht mailprogramma qua security voor *nix bleek vorig jaar dat een bug gevonden werd die er al jaren inzat. Om redenen van security (en gebruiksgemak) leveren veel linux-distributies deze MTA overigens niet standaard mee. Het feit dat het jaren duurt voor een bug wordt gevonden betekent dat het misbruiken van dergelijke bugs ook steeds moeilijker wordt.

Probleem met ICQ is verder nog dat je niet met gepast gereedschap kunt zoeken omdat het een closed source programma is. De vraag is of dat een voordeel is, want de fouten in het programma zijn ook voor goedwillenden verborgen.

Ik gebruik zelf overigens wel ICQ en het valt gewoon op hoe gebrekkig de instellingen van het protocol zelf zijn. Dat zie je erg goed als je kijkt naar de afgeleide programma's als micq, licq, kicq, etc. Hier hebben ze het slechts over fouten in aanvullende functionaliteit. Ik denk niet eens dat het in mijn client geimplementeerd is.
Molybdenum 6 mei 2003 19:35
tja.. mijn account is laatst ineens onbruikbaar geworden. het zou me niet verbazen als deze is gehacked: ik had namelijk een 6-cijferig account en die worden gewoon verkocht op eBay. is gewoon geld waard, blijkbaar...

ik heb die lui ook proberen te bereiken, maar het is gewoon onmogelijk!
morphje @Molybdenum6 mei 2003 19:44
Nou jah geld waard ....
heb zo m'n vraagtekens bij die claim
net even snel gekeken op ebay, staan 2 6-cijferige icq nummers for sale en die gaan voor 30 dollar ....

mocht het nou een nulletje meer opleveren, dan misschien de moeite waard :) ...
Blord @morphje6 mei 2003 20:49
hmm , hoeveel zal mijn icq 9151515 opleveren ? :*)
onok 6 mei 2003 19:40
Vaag, ICQ is al jaren oud, dat ze dat nou pas ontdekken!
TheGhost @onok6 mei 2003 19:45
hallo zeg !! ICQ is al jaren oud, maar wordt wel regelmatig vernieuwd/geupdate het kan best zijn dat deze bugs niet in ICQ 2000/2001/2002 zitten/zaten hoor !!

edit:

|:( eerdere versies ook gevoelig, maar welke eerdere versies ik bedoel: er zijn nog zat mensen die ICQ 98/99a ofzo gebruiken!! zijn die dan ook gevoelig voor die lekken?
CARman @TheGhost6 mei 2003 20:56
2003a en eerdere versies zijn allemaal gevoelig voor de bugs
Ofwel, alle oudere versies hebben last van deze bug. Ik zou niet weten waarom de 98 en 99 versies hier dan geen last van zouden hebben.

Verder ken ik eigenlijk niemand die nog een versie van de voor 2000 gebruikt. Maar goed, uitzonderingen zullen er altijd nog wel zijn.
ArthurMorgan @CARman6 mei 2003 21:24
de 98 en 99 versie hebben geen reclamebanners. Dus is die lek ook niet aanwezig. Als ik me goed herinner was er toen al wel een mailfunctie, maar was er geen ingebouwde pop3client en is deze lek dus ook niet aanwezig in die versies.

Daarom zijn die versies dus wel gewoon veilig (althans ze hebben deze leks niet ;) )

op deze site staan de oude versies nog. ik gebruik ze soms ook als ik bij iemand anders ICQ moet installeren :) http://www.spoutnic.com/icq/archives.asp
memphis @TheGhost6 mei 2003 20:06
Er zijn mensen die nog versie 98/99 gebruiken :?
Ik ben juist verplicht overgestapt omdat deze oude versies problemen gaven met de nieuwe opzet van de servers....
ArthurMorgan @onok6 mei 2003 19:47
Als niemand op zoek gaat naar een bug zal ook niemand ze vinden. (Tenzij per ongeluk een keer.)
De reden waarom men bij microsoft zoveel bugs vindt is daar voor een groot deel aan te wijten. Veel mensen zijn bezig met het opsporen van bugs in MS producten.
Dan worden ze ook sneller gevonden en in de openbaarheid gebracht.

/edit bericht tikkie aangepast, het leek alsof ik bedoelde dat MS zelf hard op zoek was en ik bedoel meer dat er veel mensen buiten MS op zoek zijn naar bugs in MS producten.
bartvb 6 mei 2003 23:07
Dit is nou typisch een van de redenen dat er een algemene, open standaard moet komen voor Instant Messaging. Op de huidige manier met die (*@(&*#@ gesloten standaarden en servers die van 1 bedrijf zijn ben je helemaal aan zo'n bedrijf als MS en Mirabilis overgeleverd. Als zij het niet nodig vinden een update te maken of een lek te dichten dan zit jij met de problemen :\

Maar met een beetje geluk komt XMPP (aka Jabber) over een paar maanden door de IETF heen en hebben we straks een IM standaard die net zo open is als bv HTTP of SMTP.

* 786562 bartvb
Verder zit het ICQ protocol an sich ook redelijk (behooorlijk) brak in elkaar. Enige reden dat ik het nog gebruik is dat er nog redelijk wat van m'n contacts op ICQ zitten en ik MSNM nog een grotere ramp vind :\ Maar goed, echt wakker liggen van deze security bugs kan ik niet, heb Mirabilis nooit een echt sympatiek bedrijf gevonden met hun veel te bloated en gebruiksonvriendelijke clients, banners en mega wazige website *grmbl* Lang leve Trillian of Jabber clients en Jabber-ICQ transports :D Sidenote: Trillian gaat in de volgende versie ook Jabber ondersteunen :9~
Verwijderd @bartvb6 mei 2003 23:28
Blame ao(hel)l voor de banner ontwikkeling :(

Verder gebruik ik al heel lang geen icq meer doordat mijn account opeens niet meer werkte... was een 7cijferige :? Niet echt boeiend om te hacken lijkt mij :(
Erkens @Verwijderd7 mei 2003 23:03
"hacken" tuurlijk ;)
zal wel een te gemakkelijk password hebben gehad oid

wat wel waar is dat mede dankzij de banners er een extra bug in zit, maar ach ergens moet toch geld mee verdiend worden lijkt mij, en hoe erg is het als er een programma vast loopt? nog betere vraag, hoe vaak gaat het voorkomen voordat er een patch/oplossing is?
Verwijderd @bartvb6 mei 2003 23:43
ik gebruik het jabber protocol :)
alleen jammer dat veel kennissen van me nog steeds msn gebruiken :(

hun moeten ook maar jabber gebruiken.
sHiKoRa 7 mei 2003 14:23
Wat ik mij afvraag is of deze problemen ook van toepassing zijn in ICQ Lite (Build #1150), aangezien de genoemde POP3-cliënten volgens mij hier niet ingebouwd zijn. :?
Erkens @sHiKoRa7 mei 2003 22:59
daar is dus geen probleem mee ;)
2Dutch 6 mei 2003 19:34
Hmm, volgens mij heb ik er geen last van, gebruik sinds een tijd Miranda ipv het ICQ programma..
Maar goed, als je de mailfunctie niet gebruikt, en een versie van ICQ pakt zonder advertenties (als die er nog is) zou je dus nergens last van moeten hebben.
Codin the Coder 6 mei 2003 19:54
Door het sturen van een e-mail met een aangepaste subject-of datum-header kan de verzender code laten uitvoeren op de computer van de ontvanger.
Klinkt eggdropperig.

Belachelijk dat er uberhaupt nog programmeurs rondlopen die niet eens een fatsoenlijke maxlimit op hun inputvelden zetten.

Wijze les voor de T.net lezertjes: Als je 10 bytes aan geheugen declareert, zorg dan ook dat de user niet meer dan 10 bytes aan info kan invoeren. Is dat wel mogelijk, dan kan er programmacode worden overschreven.

En da's nie goed!
ArthurMorgan @Silent3k6 mei 2003 19:34
Hmm dat zou ik wel vreemd vinden. Als ik het mij goed herinner zie ik ook wel regelmatig nieuwsberichten voorbij komen dat MSN messenger veiligheidsgaten heeft.

Daarnaast is de kans dat je getroffen wordt door een hack volgens mij ook niet super groot. Het ene lek heeft te maken met de mailfunctie van ICQ, iets dat niet al te veel mensen gebruiken. Het tweede grote lek heeft te maken met de headers. Deze is op zich wat gevaarlijker in mijn ogen. Maar ook daar voorzie ik voorlopig niet echt een groot toepasbaar gebied. (Sowieso gebruiken ook al veel mensen een hackprog om de banners weg te krijgen.....)

Maar ik denk dat het in elk geval niet zo mag zijn dat je nu opeens kunt zeggen dat MSN messenger veiliger is....
Verwijderd 6 mei 2003 23:04
Ik vind ICQ maar klote, zelf ben ik via Trillian op alle services ingelogged en de als er problemen zijn, dan ist het bijna altijd ICQ, ook veel spam die via ICQ binnenkomt :( maar MSN server durft ook al eens plat liggen op spitsuren :( Yahoo is dan het enige dat stabiel werkt.
sHiKoRa @Verwijderd7 mei 2003 14:20
In ICQ kan je onder "Main - Spam Controle" genoeg instellen om het aantal spam drastisch of geheel te verkomen/verminderen. ;)
JeroenB 6 mei 2003 19:25
Ik ben alvast gaan dweilen.
LauPro @JeroenB6 mei 2003 19:44
Ik zou maar vast een pomp gaan huren voor als er een lek in MSN Messenger onstaat }>.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq