Naast het veel gebruikte MSN Messenger is ook ICQ een populair messenger-programma. Helaas voor de gebruikers van dit programma heeft het Amerikaanse Core Security Technologies een zestal veiligheidslekken geïdentificeerd. Slechts twee van de zes lekken zijn als 'ernstig' bestempeld. In de maanden maart en april heeft Core Security de makers van ICQ, Mirabilis, proberen te bereiken. Zij reageerden echter niet op de gestuurde e-mails. Gebruikers moeten het dus nog zonder patch doen. ICQ 2003a en eerdere versies zijn allemaal gevoelig voor de bugs. De informatie over de lekken zijn gisteren naar Bugtraq gestuurd.
Drie van de zes lekken die beschreven worden hebben te maken met de geïntegreerde POP3-cliënt in ICQ. Door het sturen van een e-mail met een aangepaste subject-of datum-header kan de verzender code laten uitvoeren op de computer van de ontvanger. Bij het versturen krijgt iedere e-mail een uniek ID mee. Door een bug in de verwerking van dit ID is het mogelijk dat een aanvaller dit kan uitbuiten. Verder is er een bug ontdekt in de afbeeldingparser. Deze gaat de fout in bij het parsen van de GIF89a-headers. In ICQ zijn HTML-advertenties verwerkt. Er zit echter een bug in de library die de HTML moet parsen waardoor het mogelijk is voor iemand om foute code te sturen waardoor ICQ bevriest. De laatste bug die gevonden is stelt een aanvaller in staat om eigen software te installeren:
ICQ provides a semi-automated functionality for upgrading client services (i.e.: ICQ Phone, ICQ Web Search, etc) called "ICQ Features on Demand" vulnerable to a spoofing attack due to hard-coded information and lack of authentication signatures.
By taking advantage of this vulnerability, an attacker will be able to install malicious software that could lead to execution of arbitrary commands as well as other important security breaches.