Una vulnerabilidad ha sido identificada en el popular programa ICQ, la cuál puede ser explotada por atacantes remotos para tomar el control completo del sistema afectado. No se requiere la interacción con el usuario para ello.
El problema es ocasionado por el control ActiveX “ICQPhone.SipxPhoneManager”, que no valida los parámetros recibidos a través del método “DownloadAgent()”.
Un atacante puede utilizar como vector de ataque un avatar (la representación gráfica de un usuario). La función vulnerable permite descargar y ejecutar un archivo en el contexto del usuario actual, por la simple acción de recibir un mensaje.
ICQ, acrónimo de “I Seek You” (te busco), es una aplicación (actualmente de America Online), que ofrece un servicio de mensajería en línea a través de Internet, permitiendo hacer saber a otras personas conocidas, que uno está conectado (online). A través de él se pueden intercambiar mensajes y archivos, conversar (chat), establecer conexiones de voz y video, etc.
Software afectado:
- ICQ 5.1 y anteriores
Solución:
Conectarse al servicio ICQ para aplicar el parche automáticamente, o descargar las versiones más recientes desde el siguiente enlace:
http://download.icq.com/
Referencias:
ICQ “ICQPhone.SipxPhoneManager” ActiveX Control File Download Vulnerability
http://www.frsirt.com/english/advisories/2006/4362
America Online ICQ ActiveX Control Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-06-037.html
CVE-2006-5650
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5650
Créditos:
Peter Vreugdenhil
(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com