Secondo un recente advisory, falle di sicurezza in ICQ

NetworkProvider e servizi Internet

Almeno due le gravi falle nel software ICQ di America Online: permetterebbero ad un eventuale aggressore di prendere il controllo del PC ospite, secondo un advisory pubblicato ieri da una società di sicurezza di Boston.

La compagnia Core Security Technologies ha descritto le vulnerabilità in un advisory pubblicato da diverse liste pubbliche che si occupano di sicurezza. Mentre la compagnia ha trovato in tutto sei falle, sostiene comunque che siano solo due ad avere implicazioni serie perché consentirebbero la presa di controllo del computer della vittima. «In ogni caso, il rischio associato ad ognuna di queste vulnerabilità, dipende altamente dal tipo di ambiente in cui ICQ viene utilizzato» ha spiegato Ivan Arce, CTO di Core. «Generalmente non ci assumiamo responsabilità sui rischi nei nostri advisory, perché non riteniamo valido un approccio di tipo one-size-fits-all». Le vulnerabilità colpiscono l’ultima versione del software ICQ (di proprietà di America Online dal 1998, creato invece da Mirabilis), la versione ICQ Pro 2003a client, scaricata dalla sezione dowload del sito CNET Network oltre 228 milioni di volte. L’anno scorso, la compagnia aveva lanciato una versione ridotta chiamata ICQ Lite, che sembra non essere affetta dalle stesse vulnerabilità, secondo l’advisory. Tre delle suddette vulnerabilità, tra cui una di quelle ritenute più gravi, risiedono nella funzione email del software. Un baco nel componente potrebbe consentire ad un aggressore di utilizzare il metodo con cui il software gestisce la posta elettronica per far eseguire un codice maligno. Le altre risiederebbero in una caratteristica del software che consente aggiornamenti automatici. Dato che questo componente non è sufficientemente sicuro, un aggressore potrebbe fingere di inviare un aggiornamento valido e invece inviare un codice maligno. Per ulteriori informazioni: http://www.coresecurity.com/corelabs/advisories/index.php .

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore