%020000000s

~GZ · 28-02-2008, 20:21

http://www.securitylab.ru/news/347737.php

Обнаружена критическая уязвимость в популярном менеджере отправки мгновенных сообщений ICQ 6. Уязвимость существует из-за ошибки при обработке сообщений, содержащих символы форматной строки. Для успешной эксплуатации уязвимости, злоумышленнику требуется всего лишь отправить пользователю специально сформированное сообщение, которое может быть открыто в pop-up окне предварительного просмотра или в основном окне клиента.

Пример сообщения, которое вызывает отказ в обслуживании ICQ клиента:

"%020000000s"
Уязвимости в IM клиентах не являются ни для кого новостью, но в тоже время представляют серьезную угрозу безопасности. В 2007 году было опубликовано 16 уязвимостей в менеджерах отправки мгновенных сообщений, 5 их которых (в Trillian, MSN Messenger, Miranda и Skype) позволяли выполнение произвольного кода.

Способов устранения уязвимости не существует в настоящее время. SecurityLab рекомендует всем посетителям не пользоваться уязвимой версией ICQ до выхода исправления.

Voyager · 28-02-2008, 20:37

Работает, проверено.

Duke Solo · 28-02-2008, 21:59

А что, аськой еще кто-то пользуется?

aaz · 28-02-2008, 22:02

Да вроде бы и ты ей пользуешься. Или ты программу-клиента имеешь в виду?

egold · 28-02-2008, 22:12

а у меня не работает. посылал эту хрень коллеге - у него тоже не работает.

aaz · 28-02-2008, 22:13

В кавычках или без?

P.S. А у тебя AOL AIM клиентом стоит. Или это ICQ 6 так себя называет?

egold · 28-02-2008, 22:19

и в кавычках и без. у меня и AOL и ICQ стоит.

aaz · 28-02-2008, 22:20

Выходи под ICQ - поломаю

.

egold · 28-02-2008, 22:22

у меня ася щас запущена.

aaz · 28-02-2008, 22:23

Под AOL только.

egold · 28-02-2008, 23:00

Сработало

подвисла не только ася но и все остальное.

aaz · 28-02-2008, 23:04

Клиента-то сменил?

egold · 29-02-2008, 10:32

жду патчEй

woodpecker666 · 29-02-2008, 13:06

на квипе ничё не случилось....

paganel · 29-02-2008, 13:15

да и на миранде тоже

aaz · 29-02-2008, 13:17

Не, ну кто бы сомневался!

~GZ · 29-02-2008, 13:32

Вообще - это странно. Ведь в исходнике речь идет исключительно про нативный клиент версии 6. Возникает вопрос: какого хрена это не работает в миранде и квипе?!

paganel · 29-02-2008, 13:45

в исходнике зачем-то упоминаются еще 5 клиентов с 16 уязвимостями...
к чему бы это?

AR · 29-02-2008, 14:11

Цитата:

Сообщение от ~GZ

Вообще - это странно. Ведь в исходнике речь идет исключительно про нативный клиент версии 6. Возникает вопрос: какого хрена это не работает в миранде и квипе?!

А что странного?
В результате ощибки записывается некий мусор в ОЗУ либо на код программы, либо на область других переменных. Можно перетранслировать код с другими оптимизациями компилятора или другим выравниванием и проявление этой ошибки будет выглядеть по другому.
А в некоторых случаях не выглядеть никак, если например будет затираться область буфера, который возобнавляется кодом программы.

violos · 01-03-2008, 03:54

беспонтовый баянный прикол

таких глюков можно обнаружить в множестве других программ, не только в ICQ. Просто почему-то именно её решили выставить в таком "бяковом" свете...

1020 · 02-03-2008, 10:26

сделал у себя рассылку с вредоносной строкой-жду ответа от юзеров))

aaz · 03-03-2008, 15:18

Это как раз тот случай, когда вряд ли дождёшься.

Крыглоупек Грамцианский · 03-03-2008, 16:51

Отвечалки поломает?

aaz · 03-03-2008, 16:54

Ну.

Да и зачем с таким <эпитет по вкусу> после этого разговаривать?

Опции темы	Поиск в этой теме
Версия для печати Отправить на email	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Нитяной вид Древовидный вид

Последние сообщения с Пейджера.	Показать все
За последнее время сообщений нет.

Здесь присутствуют: 1 (пользователей - 0 , гостей - 1)