近日,國外某網(wǎng)站的研究者在即時通信軟件Mirabilis ICQ Pro上發(fā)現(xiàn)了六個安全漏洞。這些漏洞的存在使得黑客有了更多的方法遠(yuǎn)程控制運行該軟件的計算機(jī)。它影響著包括ICQ Pro 2003a在內(nèi)的,以及此版本之前的所有版本。而ICQ Lite和其他一些免費的版本并沒有受到影響。
這些漏洞在Windows操作系統(tǒng)上已經(jīng)經(jīng)過測試證實。研究者還相信在其他操作系統(tǒng)上問題可能也同樣存在。
這些漏洞在ICQ的很多組件上,包括收取e-mail信息功能、標(biāo)題廣告演示和GIF格式圖象,甚至在用以軟件功能升級的代碼上都存在。最嚴(yán)重的安全漏洞是在POP3 mail client上。
在測試中,研究者可以利用漏洞遠(yuǎn)程占領(lǐng),并從運行Win NT的計算機(jī)上發(fā)出密碼和mail文件。格式串的漏洞和溢出緩沖區(qū)上的漏洞可以使得黑客遠(yuǎn)程侵入運行ICQ的計算機(jī)并在系統(tǒng)上執(zhí)行惡意代碼。黑客可以使用異常格式的e-mail信息來達(dá)到傳播攻擊的的目的。
研究者說,所有發(fā)現(xiàn)的漏洞都是嚴(yán)重的,至少可以使得ICQ崩潰。但是,這些問題并沒有得到AOL公司的任何回應(yīng)。在缺少補(bǔ)丁的情況下,研究者建議用戶最好的保護(hù)方法是:禁用ICQ上的POP3和需求欄服務(wù),在公共環(huán)境中使用ICQ應(yīng)啟用郵件過濾服務(wù)。用戶的安全意識對應(yīng)付漏洞是最重要的。
