В клиенте и на официальном сайте ICQ обнаружены XSS-уязвимости

Эксперт в области информационной безопасности Levent Kayan обнаружил в популярном клиенте службы мгновенного обмена сообщениями ICQ и на официальном сайте www.icq.com опасные XSS-уязвимости которые могут быть использованы для кражи пользовательских куки.

Левент Каян предупреждает, что программное обеспечение обмена мгновенными сообщениями ICQ для Windows не защищает от внедрения javascript-кода в статус-сообщения пользователя. Данная XSS-уязвимость в клиенте ICQ означает, что этот javascript код может быть запущен на компьютере жертвы при условии, если она откроет статус-сообщение с ловушкой используя уязвимый ICQ клиент.

Данная техника может быть использована для кражи сессионных куки, что позволяет захватчику выдать себя за жертву или (с большими усилиями) получить доступ к локальным файлам на взломанном ПК.



Обнаруженная XSS-уязвимость на веб-сайте ICQ позволяет получить доступ к информации о текущей сессии пользователя, который просматривает страницу профиля с внедренным javascript-кодом. Внедрение кода происходит через блок каналов („feed”) профиля пользователя. Действие XSS-уязвимости существенно расширяется возможностью её использования на всех популярных веб-браузерах. Использование текущей сессии пользователя может быть использовано злоумышленниками для получения контроля над учетной записью пользователя ICQ.


Специалистам компании Heise Security удалось проэксплуатировать уязвимость, обнаруженную Каяном, используя вредоносные javascript-коды в последней версии месенджера IСQ 7.5. Администрация популярного сервиса мгновенных сообщений заявила, что их сотрудники находятся в процессе разработки и тестирования обновления безопасности которое закроет XSS-уязвимость.

Хочу напомнить, что недавно Levent Kayan обнаружил подобную XSS-уязвимость в клиенте Skype, которая может позволить получить атакующему доступ к аккаунту пользователя.