Недостатки в безопасности программы обмена мгновенными сообщениями ICQ для Windows и веб-сайта ICQ создают возможный механизм для захвата аккаунтов, предупреждает исследователь в области безопасности.
Левент Каян предупреждает, что программное обеспечение не защищает от внедрения JavaScript-кода в статус-сообщения пользователя. Данная уязвимость означает, что этот JavaScript код может быть запущен на компьютере жертвы при условии, если они откроют статус-сообщение с ловушкой используя уязвимый ICQ клиент.
Данная техника может быть использована для кражи сессионных куки, что позволяет захватчику выдать себя за жертву или (с большими усилиями) получить доступ к локальным файлам на взломанном ПК. Ранее в этом месяце Каян обнаружил подобную XSS-уязвимость в Skype.
Компании Heise Security удалось воспроизвести уязвимость, обнаруженную Каяном, используя текущую - 7.5 - версию ICQ. ICQ сообщила новостному сайту в области безопасности, что она находится в процессе разработки и тестирования фикса безопасности.
