Ο ερευνητής ασφάλειας, Levent Kayan προειδοποιεί ότι το λογισμικό αποτυγχάνει στον έλεγχο κατά την ενσωμάτωση του κώδικα JavaScript στα μηνύματα του χρήστη.
Η ICQ δεν ελέγχει επαρκώς τις πληροφορίες ,στα προφίλ των χρηστών και αδυνατεί να αναλύσει την κατάσταση των μηνυμάτων που διαχειρίζεται ο χρήστης με σκοπό να ανακαλύψει την ύπαρξη για τυχόν κακόβουλο εκτελέσιμο κώδικα.
Η τεχνική θα μπορούσε να χρησιμοποιηθεί για την κλοπή cookies που αφορούν την περίοδο λειτουργίας του υπολογιστή, από όπου οι hackers μπορούν να μιμηθούν το θύμα ή ( με μεγαλύτερη δυσκολία ) να αποκτήσουν πρόσβαση σε αρχεία του υπολογιστή. Νωρίτερα αυτό το μήνα, ο Kayan, βρήκε ένα παρόμοιο σφάλμα cross-site scripting και στο Skype.
Η ICQ ανέφερε πως το σφάλμα βρέθηκε κατά τη διαδικασία ανάπτυξης και δοκιμής ενημέρωσης που αφορά την ασφάλεια εκτελέσιμου κώδικα.
secnews.gr
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου
Σημείωση: Μόνο ένα μέλος αυτού του ιστολογίου μπορεί να αναρτήσει σχόλιο.