Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Vulnerabilidad crítica en ICQ 5.1 y anteriores
 
VSantivirus No 2289 Año 10, martes 7 de noviembre de 2006

Vulnerabilidad crítica en ICQ 5.1 y anteriores
http://www.vsantivirus.com/vul-icq-061106.htm

Por Angela Ruiz
angela@videosoft.net.uy


Una vulnerabilidad ha sido identificada en el popular programa ICQ, la cuál puede ser explotada por atacantes remotos para tomar el control completo del sistema afectado. No se requiere la interacción con el usuario para ello.

El problema es ocasionado por el control ActiveX "ICQPhone.SipxPhoneManager", que no valida los parámetros recibidos a través del método "DownloadAgent()".

Un atacante puede utilizar como vector de ataque un avatar (la representación gráfica de un usuario). La función vulnerable permite descargar y ejecutar un archivo en el contexto del usuario actual, por la simple acción de recibir un mensaje.

ICQ, acrónimo de "I Seek You" (te busco), es una aplicación (actualmente de America Online), que ofrece un servicio de mensajería en línea a través de Internet, permitiendo hacer saber a otras personas conocidas, que uno está conectado (online). A través de él se pueden intercambiar mensajes y archivos, conversar (chat), establecer conexiones de voz y video, etc.


Software afectado:

- ICQ 5.1 y anteriores


Solución:

Conectarse al servicio ICQ para aplicar el parche automáticamente, o descargar las versiones más recientes desde el siguiente enlace:

http://download.icq.com/


Referencias: 

ICQ "ICQPhone.SipxPhoneManager" ActiveX Control File Download Vulnerability
http://www.frsirt.com/english/advisories/2006/4362

America Online ICQ ActiveX Control Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-06-037.html

CVE-2006-5650
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5650


Créditos:

Peter Vreugdenhil






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS