Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

ICQ obliga el autoagregado de usuarios
 
VSantivirus No. 649 - Año 6 - Miércoles 17 de abril de 2002

 ICQ obliga el autoagregado de usuarios
http://www.vsantivirus.com/vul-icq-content-type.htm

Aviso de seguridad: ICQ obliga el autoagregado de usuarios
Nombre original: ICQ Forced Auto-Add Users
Fecha: 16/abr/02
Autor/descubridor: t-Omicr0n <tvb71@hotmail.com>
Aplicación vulnerable: ICQ 200x
Severidad: Media
Referencia: http://t-Omicr0n.hexyn.be/Hexyn-sa-22.txt

ICQ es un programa gratuito y muy popular de mensajería instantánea y chat, usado por casi 110 millones de usuarios en el mundo entero.

Cuando ICQ es instalado, se agrega una nueva etiqueta "Content-Type" a la lista de extensiones, que permiten la codificación y formato del código binario en aplicaciones soportadas por el código HTML leído por el Internet Explorer: "application/x-icq".

Cuando el Internet Explorer recibe el código "Content-Type: application/x-icq" en una página o mensaje Web, entonces se habilita la interpretación del siguiente contenido:

[ICQ User]
UIN=<uin>
Email=
NickName=
FirstName=
LastName=

UIN es el número que identifica a cada usuario de ICQ (ICQ UIN). Con esto, el IE puede descargar automáticamente cierto contenido y hacer que ICQ agregue ese UIN a su lista de contactos.

De cualquier modo, un webmaster poco escrupuloso, puede agregarse a la lista de contacto de sus víctimas/visitantes. El bug puede ser explotado por cualquier programa que utilice el Internet Explorer para desplegar el contenido Web.

Existen varias formas para explotar esta falla, y una de ellas al menos, es de ejecución automática al visitar un sitio.

No hay parches disponibles en forma oficial por ICQ a la fecha. Las soluciones momentáneas pasan por controlar la lista de contactos y eliminar los que no conocemos, o utilizar otros navegadores en lugar de Internet Explorer.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS