核心安全技术公司在对几个公共安全邮件列表发出的公告中描述了ICQ软件易受攻击的缺陷。尽管该公司共发现了六处缺陷,但是只有两个存在严重隐患,因为它们可以让攻击者在被攻击的电脑上运行程序。
核心公司技术总监Arce说,然而,与每个缺陷相连的危险在于,这种危险高度地依赖于ICQ所采用的环境。通常我们在公告中不做任何假设,因为我们不认为以一种措施应对所有问题的方案是有效的。
有缺陷的ICQ PRO 2003a 客户端程序是美国在线的ICQ即时信息软件的最新版,在一家主要网站上它已被下载了2.28亿次。去年,美国在线公司提供了所谓的ICQ Lite压缩版。核心公司的公告说,后者没有缺陷问题。
美国在线公司的ICQ部门在周一没有对所谓的缺陷发表任何评论。安全研究人员还指出,他们还发现了导致ICQ安全隐患的问题。
核心安全公司称,有三个缺陷,其中包括一个具重大威胁的缺陷,它发生在ICQ软件的电邮程序中,如果攻击者能够模拟用户的电邮服务器,电邮组件缺陷可让攻击者采用软件处理电邮的方法让电邮程序运行程序。
其他所谓危急的缺陷发生在ICQ软件可自动升级的功能上。因为自动升级组件没有足够安全措施,攻击者可以假装发送合法的升级信息,而此时这个升级信息实际上是一个恶意代码。
ChinaByte(e.chinabyte.com)
