ICQに複数の脆弱性

ICQでヒープオーバーフローやクロスサイトスクリプティングの脆弱性が発見された。

[ITmedia]

　セキュリティ企業Core Security Technologiesは9月7日、AOLのインスタントメッセージング（IM）ソフト「ICQ」で複数の脆弱性が見つかったと報告した。

　そのうちの1件は、ICQ Pro 2003b Build #3916およびそれ以前のバージョンに影響するヒープオーバーフローの脆弱性。ICQクライアントが着信メッセージの長さを処理する方法に問題があり、これを悪用するとシステムの乗っ取りが可能になってしまう。この脆弱性を悪用する攻撃は、通常のIM通信と容易に見分けられる特徴がないため、特定が難しいという。

　AOLは解決策として、ユーザーにICQ 5.1にアップグレードするよう勧めている。

　ほかの脆弱性は、ICQ Toolbar 1.3 for Internet Explorerに影響する。Webコンフィギュレーションインタフェースの実装方法に欠陥があり、攻撃者がこれを悪用すると、不正なWebサイトを利用して、ユーザーが気付かないうちにコンフィギュレーション設定を変えられるようになる。

　またこのツールバーでは、RSSフィードインタフェースにクロスサイトスクリプティングの脆弱性も見つかった。これを悪用すると、不正なRSSフィードを利用して、このインタフェースでスクリプトコードを実行できたり、コンフィギュレーション設定にアクセス（場合によっては変更）できてしまう。

　AOLは解決策として、ICQ Toolbar 1.2をダウンロードするよう勧めている。バージョン1.2はICQ 5.1に含まれており、RSSフィード機能を持たない。