软件缺陷 & 病毒快讯:
发布日期:2003-5-8
涉及程序:ICQ Pro 2003a版及其之前的版本
详细描述:
Mirabilis ICQ 是一款非常流行的及时通讯程序,具有聊天,发送邮件,SMS和无线寻呼机信息等功能。ICQ存在六个缺陷,能导致用户不能正常使用ICQ,并允许攻击者在目标用户的系统上执行任意代码:
1、POP3 Client 格式串缺陷:
ICQ的POP3 client在UIDL command服务器响应中存在格式串缺陷,能允许攻击者模拟POP3服务器。
2、POP3 Client “Subject”缓冲溢出缺陷:
ICQ的POP3 client在处理EMAIL标题的“Subject”文件时存在缓冲溢出缺陷,如果EMAIL标题包含超过16比特的字符将触发该缺陷。通过向目标用户发送精心构造的恶意EMAIL标题,攻击者能在目标用户的机器上执行任意命令。
3、POP3 Client “Date”缓冲溢出缺陷:
ICQ的POP3 client在处理EMAIL标题的“Date”文件时存在缓冲溢出缺陷,如果EMAIL标题包含超过16比特的字符将触发该缺陷。通过向目标用户发送精心构造的恶意EMAIL标题,攻击者能在目标用户的机器上执行任意命令。
4、ICQ“Features on Demand”哄骗攻击:
ICQ能通过调用“ICQ Features on Demand”功能来进行自动升级。由于程序缺乏正确的鉴定和hard-coded信息,攻击者利用哄骗攻击的方法能在目标用户的机器上安装恶意程序,并执行任意代码。
5、信息公告DoS攻击:
ICQ用于在信息窗口中显示信息公告专用HTTP解析/显示库在解析标签输入时存在缺陷,攻击者通过模拟静态ADS服务器,并发送精心构造的恶意HTTP代码,能导致ICQ挂起,并占用100%的CPU使用率,发动DoS攻击。
6、ICQ的GIF解析/显示库存在输入确认缺陷:
ICQ专用的图形解析/显示库(创建在“icqateimg32.dll”)在解析输入的GIF89a标题时存在缺陷,能触发DoS攻击。
解决方案:
目前厂商未公布该缺陷补丁,请用户及时关注厂商站点:http://www.icq.com/
