Schwachstelle

ICQ anfällig für Konten-Diebstahl

Sicherheitsexperte Levent Kayan warnt vor Schwachstellen in ICQ und der Webseite des Projekts.

Kayan sagt, dass sich sowohl der Client für Windows als auch die Web-Variante ausnutzen lassen, um sich Zugriff auf die Konten anderer zu ergaunern. ICQ würde die Profil-Informationen nicht ausreichend auf Schadcode untersuchen. Sollte ein Anwender das profil eines anderen öffnen, könnte sich JavaScript-Code ausführen lassen. Somit könnte man unter Umständen das Cookie des Anderen steheln und dessen Sitzung übernehmen.

So einen Angriff nennt man in der Regel "Persistent Cross-Site Scriptung"-Angriff. Kayan hat erst kürzlich einen ähnlichen Fehler in Skype gefunden. Zunächst wollte ICQ keinen Kommentar abgeben. Später wurde die Presse unterrichtet, dass der Fehler gefunden sei und man schon an dem Problem arbeite: noptrix.net, noptrix.net (jdo)