Эксперт компьютерной безопасности Даниэль Сейтер (Daniel Seither) опубликовал отчет об обнаружении опасной уязвимости в последней версии средства обмена мгновенными сообщениями ICQ 7 (уязвимы все версии, включая 7.2 build 3525). Уязвимость обнаружена в модуле автоматического обновления и позволяет злоумышленнику удаленно выполнить произвольный программный код. Причиной уязвимости стало отсутствие проверки подлинности серверов обновления ICQ. Злоумышленник выполнив подмену DNS-записи может перенаправить запрос пользователя на контролируемый им сервер, в результате чего на компьютер с уязвимой версией ICQ, может быть закачан вредоносный код, который автоматически выполнится после получения. Разработчики ICQ никак не отреагировали на сообщение об уязвимости, поэтому пользователи ICQ продолжают использовать официальный клиент на свой страх и риск.
|