ICQ自动升级远程代码执行漏洞

发表评论 (0) 查看评论

漏洞起因
源验证错误
危险等级

 
影响系统
ICQ Inc. ICQ 7
 
不受影响系统
 
危害
远程攻击者可以利用漏洞以客户端应用上下文执行任意程序。
 
攻击所需条件
攻击者必须能对目标用户进行中间人攻击。
 
漏洞信息
ICQ是一款国外流行的即时通信软件。
ICQ 7在启动时会验证升级,但没有通过校验数据证书等手段来验证升级源,攻击者可以通过中间人攻击,DNS毒药等其他手段来伪造update.icq.com而让客户端下载恶意软件。
 
测试方法
 
厂商解决方案
目前没有详细解决方案提供:
http://www.icq.com/
 
漏洞提供者
Daniel Seither

发表评论?

0 条评论。

发表评论