Архив

Публикации с меткой ‘icq’

Уязвимость в ICQ6. Война юзеров продолжается

2 Март 2009 1 комментарий

Найдена уязвимость в ICQ6

Программа: ICQ 6
Опасность: Средняя
Наличие эксплоита: Да

Описание:
Уязвимость позволяет удаленному пользователю произвести DoS атаку. Необходимо установить в ники «</a>» и добавиться в КЛ жертвы и что бы он вас добавил. Есть вероятность работы такого в запросе Авторизации. А если написать сообщение, ICQ 6 будет вылетать при открытии истории!

Решение: Способов устранения уязвимости не существует в настоящее время.

QIP Infium 9026. Шифрование трафика в аське.

16 Февраль 2009 5 comments

ICQХотелось бы вам, чтобы все сетевые пакеты, которые идут на сервер аськи, шифровались? Наверно многим хотелось бы, поскольку в корпоративной среде или в локальных сетях сетевые пакеты с аськиными данными и сообщениями могут перехватываться специальным программным обеспечением, которого сейчас предостаточно. Думаю вам было бы неприятно, что более продвинутый в компьютерных технологиях сосед по рабочему месту, читает вашу переписку перехватом пакетов. Теперь для этого есть решение, это новый QIP Infium 9026 с новым модулем аськи, в настройках подключения которого, вы можете включить поддержку SSL шифрования основного асечного трафика (в данном случае это не стоит путать с “безопасным подключением”, в QIP Infium всегда включено безопасное подключение). На данный момент, ни один из альтернативных клиентов, и как это не странно, ни один из официальных асечных клиентов такое не поддерживает (из официальных поддерживают только новые версии AIM). Поэтому желательно использовать эту фичу, только в том случае, если она действительно нужна. У этой фичи только один явный минус, при этом трафик расходуется примерно в полтора раза больше. Читать далее…

Отказ в обслуживании в QIP2005 ниже билда 8090

QIP5 февраля 2009 года на сайте securitylab.ru была опубликована уязвимость в QIP2005 ниже билда 8090, которая позволяет удаленному пользователю произвести DoS атаку.

Уязвимость существует из-за ошибки при обработке ICQ сообщений. Удаленный пользователь может с помощью специально сформированного ICQ сообщения в RTF формате заставить приложение потреблять все доступные ресурсы процессора. Пример сообщения:

{rtfpict&&}

Данная уязвимость была исправленна в билде QIP 2005 8090.

Таким образом повесить аську друга или коллеги можно так, что он и не узнает об этом. Для этого необходимо отключить уведомленя о наборе текста в своем клиенте и отправить жертве заветный кусок текста. После чего наблюдать, как жертва вывалилась из аськи :)