ICQ üzenet feldolgozás string formázási sérülékenysége

CH azonosító

CH-1044

Felfedezés dátuma

2008.02.29.

Súlyosság

Közepes

Érintett rendszerek

ICQ

Érintett verziók

ICQ ICQ 6.x

Összefoglaló

Az ICQ olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók feltörhetik egy másik felhasználó rendszerét.

Leírás

Az ICQ olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók feltörhetik egy másik felhasználó rendszerét.

A sérülékenységet egy formátum string hiba okozza az üzenet, a beágyazott Internet Explorerben való megjelenítéséhez szükséges HTML kódjának generálásakor. Ez kihasználható egy különlegesen kialakított, formátum string meghatározásokat tartalmazó üzenet küldésével egy másik felhasználónak.

Sikeres kihasználás esetén tetszőleges kód futtatható.

A sérülékenység az ICQ 6 build 6043-as verziójában található, egyéb verziók is érintettek lehetnek.

Megoldás

Engedélyezze az “Üzenetek fogadása kizárólag a címlistából” opciót és távolítsa el onnan a nem megbízható felhasználókat.

Ha a “Kérdezzen rá a megjelenítésre, ha ismeretlen küldőtől érkezik üzenet.” opció engedélyezve van, akkor tiltsa le az ismeretlen feladótól származó üzenetek megjelenítését.


Legfrissebb sérülékenységek
CVE-2024-20358 – Cisco ASA és FTD sérülékenysége
CVE-2024-20359 – Cisco ASA és FTD sérülékenysége
CVE-2024-20353 – Cisco ASA és FTD sérülékenysége
CVE-2024-31857 – WordPress Forminator plugin sérülékenysége
CVE-2024-31077 – WordPress Forminator plugin sérülékenysége
CVE-2024-28890 – WordPress Forminator plugin sérülékenysége
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
Tovább a sérülékenységekhez »