В интернет-пейджере ICQ Pro 2003b найдена опасная дыра

Специалисты компании Core Security Technologies обнаружили опасную уязвимость в интернет-пейджере ICQ Pro 2003b. Воспользовавшись дырой, злоумышленники теоретически могут спровоцировать сбой в работе клиентского приложения и, возможно, получить несанкционированный доступ к удалённому компьютеру.

Проблема связана с ошибкой переполнения так называемой "кучи" (области памяти, выделяемой программе для динамически размещаемых структур данных), которая может возникать при обработке сформированных особым образом сообщений. Для организации нападения достаточно направить подключённой к сети ICQ жертве вредоносное послание, никаких действий со стороны пользователя не требуется.

Брешь присутствует только в клиентском приложении ICQ Pro 2003b, более поздние версии, например, ICQ 5.1 дыры не содержат. Специалисты Core Security Technologies уже разработали пример вредоносного кода, посредством которого можно задействовать уязвимость. В компании AOL подтвердили факт наличия дыры и порекомендовали всем пользователям интернет-пейджера установить новую версию продукта. Загрузить свежие модификации программы можно отсюда.

Кроме того, эксперты Core Security Technologies выявили несколько менее опасных дыр в панели инструментов ICQ Toolbar 1.3 для браузера Microsoft Internet Explorer. Эти уязвимости могут применяться, в том числе, для изменения настроек панели инструментов. В компании AOL дыры охарактеризовали умеренно-опасными и пообещали выпустить соответствующие заплатки. Правда, сроки появления патчей не уточняются.

© ИД "Компьютерра"​

 

Итог:
"пользуемся qip"
"пользуемся outpost fire wall"
"пользуемся KAV"
и не пускаем чужих хакеров к себе на чай!

 

-или R&Q
-угу
-или NOD
только на пиво!!!

 

Делать им нечего как находить дыры в клиентах, которые на 3 года устарели

 

Где описание уязвимости, а не голые слова о дырках? имхо просто акция аол чтобы юзеры скачали больше новых icq 5.1.

 

абсолютно с тобой согласен +

 

Чтото я не понял причем тут Авп и Аутпост?Они тебя защищают от флуда?

Code:

213821ea 0fbe442414 movsx eax,byte ptr [esp+0x14]
213821ef 53 push ebx (length specified in the LNTS)
213821f0 50 push eax (character being written, 0)
213821f1 8b4604 mov eax,[esi+0x4]
213821f4 034608 add eax,[esi+0x8]
213821f7 50 push eax (destination buffer)
213821f8 e8b5300000 call ICQRT!Ordinal116+0x1af (213852b2)

Проблема вообще говорят изза неправильной обработки длины входящего сообщения.

+ Multiple vulnerabilities in ICQ Toolbar 1.3 for Internet Explorer