Автоматичните ъпдейти на ICQ 7 за Windows могат да доведат до изпълнение на чужди кодове на програми. Откривател на проблема е Daniel Seither, студент по информатика към Техническия Университет в Дармщад, Германия.При всяко зареждане на програмата, ICQ клиентът проверява за нов ъпдейт, но не проверява нито идентичността на сървъра, нито дали прехвърлените файлове са наистина от ICQ. Seither откри, че по този начин, на ICQ може да се зададе фалшив сървър за ъпдейт чрез DNS спуфинг и да се прехвърли неоторизиран код. Така вместо новия ъпдейт, при следващия старт на програмата, ICQ клиентът може да зареди зловреден софтуер.
Според Seither, този проблем засяга пропуск в сигурността на всички досегашни версии на ICQ 7 за Windows, в това число и на актуалната версия 7.2 Build 3525, и съветва, да не се ползва ICQ, докато проблема не бъде отстранен. От ICQ все още не са реагирали.
Няма коментари:
Публикуване на коментар