ICQ入站消息HTML注入漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2009-08-19
ICQ入站消息HTML注入漏洞 发布时间:2009-08-14影响版本:
AOL ICQ 6.5
漏洞描述:
BUGTRAQ  ID: 36041ICQ是一款流行的即时通讯聊天工具。ICQ客户端软件存在HTML注入漏洞。由于用于显示所接收到消息的窗口具有Web浏览器的性质,因此远程安全者可以向ICQ客户端发送包含有文本数据的特制消息,其中的文本数据会在入站消息窗口中解释并显示为HTML代码。这个漏洞可能造成两种影响:1. 信息泄露。例如,安全者可以注入可能导致信息泄露的<IMG>标签。2. 欺骗。安全者可以再消息窗口中伪造ICQ客户端软件的系统消息、界面元素(按键、链接)等。
<*参考
Maxim A. Kulakov (ss_contacts@hotmail.com)
链接:http://marc.info/?l=bugtraq&m=125026611727650&w=2
*>测试方法:[www.sebug.net]
本站提供程序(方法)可能带有安全性,仅供安全研究与教学之用,风险自负!
file://1"></a>[HTML CODE]
SEBUG安全建议:
厂商补丁:AOL---目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.icq.com/