PureBoard

Hi all,

ich möchte einfach kurz mal etwas erwähnen. Durch eine Sicherheitslücke kann man jeden x-beliebigen Code in nen ICQ-Fenster "reinschreiben". Somit könnte man den ICQ Client crashen oder Schadcode ausführen. Das Problem sind die tZers. Es kommt ja immer: "Du wurdest gtZed: Gangsta" oder sowas. Genau diesen Text "Gangsta" kann man ändern. Wie sage ich jetzt nicht. Und genau dieser Bereich ist ungeschützt vor HTML-Code. Wer es nicht glaubt, kann es mir sagen und ich teste es bei ihm. Abhilfe: Alternativer Client wie z.B. Miranda oder so.
Das ist übrigens kein Witz, sondern Wahrheit. Ich (und auch andere) können jeden beliebigen Frame, jedes beliebiges Bild, jeder beliebige JavaCode in das ICQ-Fenster "injecten". Nur so als Warnung.

Gruss
PMTheQuick

PS: Habe es selber getestet. Mir mit dieser Lücke nen IE6 Exploit geschickt. Dazu habe ich zwei ICQ-Accs verwendet. Geschickt... Nachrichten-Fenster öffnet sich... ICQ-Crash (stürzt ab) Damit könnte man aber auch Frames & co. verwenden.

Deeswegen nutze ich Trillian auf Windows und Pidgin unter Linux.

ist Miranda oder Trillian denn komplett funktionell?
oder gehen dort die tZer garnich?
...wär ja auch nich schlimm, is ja eh überflüssig wie Helium bei 1.2 Kelvin...

PMTheQuick hat geschrieben:PS: Habe es selber getestet. Mir mit dieser Lücke nen IE6 Exploit geschickt. Dazu habe ich zwei ICQ-Accs verwendet. Geschickt... Nachrichten-Fenster öffnet sich... ICQ-Crash (stürzt ab) Damit könnte man aber auch Frames & co. verwenden.

Und was ist, wenn man den IE7 drauf hat?
... wer den IE6 heut noch nutzt, dem ist auch das egal

Kaeru Gaman hat geschrieben:ist Miranda oder Trillian denn komplett funktionell?
oder gehen dort die tZer garnich?
...wär ja auch nich schlimm, is ja eh überflüssig wie Helium bei 1.2 Kelvin...

öhm ... mit dem aktuellen Trillian in der Basic Version, ich weis garnicht
was ein tZer ist ... ansonnsten, wer weis was Trillian Astra später
bieten wird

MFG PMV

PMV hat geschrieben:

PMTheQuick hat geschrieben:PS: Habe es selber getestet. Mir mit dieser Lücke nen IE6 Exploit geschickt. Dazu habe ich zwei ICQ-Accs verwendet. Geschickt... Nachrichten-Fenster öffnet sich... ICQ-Crash (stürzt ab) Damit könnte man aber auch Frames & co. verwenden.

Und was ist, wenn man den IE7 drauf hat?
... wer den IE6 heut noch nutzt, dem ist auch das egal

MFG PMV

Es gibt auch IE7 Exploits Auch IE5,4,3,2,1 Also sind ALLE betroffen. Alle originalen ICQ-Clients.

@KaeruGaman: Miranda kann auch tZers, allerdings ist dort diese Lücke nicht vorhanden. Auch nicht in Trillian, Pigdin u.s.w. ICQ is das einzige gefährliche Prog...

Gruss
PMTheQuick

k, thnx für den hinweis...
hatte ICQ noch gernicht drauf auf der neuen maschine, werd mir dann gleich Miranda oder Trillian holen...
vom Namen her eher Trillian... (yo 42, und danke für den Fisch)

Hallo

Das, dass PMTheQuick da eben verfasst habe, kann ich nur bestätigen. Er war ja selbstverständlich auch so nett es bei mir zu testen . Naja er konnte locker nen HTML-Code einschleusen. Benutze jetzt auch Miranda und empfehle es auch allen anderen hier

MFG,
Sven.

Weiß jemand ob das nur für das allerneueste ICQ gilt? Weil das einzusetzen weigere ich mich sowieso... oder ist das auch bei 5.1 ein Problem?

ZeHa hat geschrieben:Weiß jemand ob das nur für das allerneueste ICQ gilt? Weil das einzusetzen weigere ich mich sowieso... oder ist das auch bei 5.1 ein Problem?

Bei 5.1 gibt es ja auch schon tZers, oder? Alle ICQ-Versionen die tZers unterstützen sind betroffen!

Gruss
PMTheQuick

Ja, diesen Mist gibt es, aber kann ja sein daß hier trotzdem kein IE6 eingebettet wird. Außerdem ist überall nur von ICQ6 die Rede... naja ich werd mal weiterforschen oder es selbst ausprobieren