核心安全技術(shù)公司在對幾個公共安全郵件列表發(fā)出的公告中描述了ICQ軟件易受攻擊的缺陷。盡管該公司共發(fā)現(xiàn)了六處缺陷,但是只有兩個存在嚴(yán)重隱患,因為它們可以讓攻擊者在被攻擊的電腦上運行程序。
核心公司技術(shù)總監(jiān)Arce說,然而,與每個缺陷相連的危險在于,這種危險高度地依賴于ICQ所采用的環(huán)境。通常我們在公告中不做任何假設(shè),因為我們不認(rèn)為以一種措施應(yīng)對所有問題的方案是有效的。
有缺陷的ICQ PRO 2003a 客戶端程序是美國在線的ICQ即時信息軟件的最新版,在一家主要網(wǎng)站上它已被下載了2.28億次。去年,美國在線公司提供了所謂的ICQ Lite壓縮版。核心公司的公告說,后者沒有缺陷問題。
美國在線公司的ICQ部門在周一沒有對所謂的缺陷發(fā)表任何評論。安全研究人員還指出,他們還發(fā)現(xiàn)了導(dǎo)致ICQ安全隱患的問題。
核心安全公司稱,有三個缺陷,其中包括一個具重大威脅的缺陷,它發(fā)生在ICQ軟件的電郵程序中,如果攻擊者能夠模擬用戶的電郵服務(wù)器,電郵組件缺陷可讓攻擊者采用軟件處理電郵的方法讓電郵程序運行程序。
其他所謂危急的缺陷發(fā)生在ICQ軟件可自動升級的功能上。因為自動升級組件沒有足夠安全措施,攻擊者可以假裝發(fā)送合法的升級信息,而此時這個升級信息實際上是一個惡意代碼。
ChinaByte(e.chinabyte.com)
