[SECURITY-L] [caio_sm em yahoo.com.br: Falhas no ICQ abrem computador para hackers]

Silvana Mieko Misuta mieko em ccuec.unicamp.br
Qua Maio 7 15:33:25 -03 2003 

----- Forwarded message from Caio Souza <caio_sm em yahoo.com.br> -----

From: Caio Souza <caio_sm em yahoo.com.br>
Subject: Falhas no ICQ abrem computador para hackers
To: mieko em ccuec.unicamp.br
Date: Tue, 6 May 2003 11:41:41 -0300 (ART)

06/05/2003  - 10h44
Falhas no ICQ abrem computador para hackers
da Folha Online

Duas sérias falhas na última versão do software de
mensagens instantâneas ICQ (sigla para a expressão em
inglês "I seek you" [Eu procuro você]) permitem que um
hacker assuma o controle do PC dos usuários. O alerta
foi dado pela empresa de segurança Core Security
Technologies.

A companhia encontrou seis vulnerabilidades no
programa da America Online, mas disse que somente duas
delas têm sérias implicações porque abrem o computador
para invasores. "Porém, o risco associado a cada
vulnerabilidade depende do ambiente no qual o ICQ está
sendo usado", disse Ivan Arce, diretor de tecnologia
da Core.

Segundo a Core, a versão vulnerável é a ICQ Pro 2003a.
No ano passado, a America Online lançou uma versão
enxuta do comunicador, o ICQ Lite. Essa versão não tem
as falhas descobertas pela Core.

Os especialistas em segurança disseram que há mais de
um mês tentam, sem sucesso, fazer contato com os
responsáveis pelo software na America Online. Por isso
decidiram publicar o alerta unilateralmente.

Três das vulnerabilidades, incluindo uma das falhas
críticas, acontecem no recurso de e-mail do programa.
Um bug no componente pode permitir que um hacker
explore a forma como o ICQ gerencia o e-mail para
executar um código malicioso de sua escolha. Para
isso, porém, ele precisa enganar o servidor de e-mail,
fazendo-se passar pelo usuário.

A outra falha considerada crítica foi encontrada em
uma ferramenta do ICQ que permite atualizações
automáticas, disse o grupo. Como esse componente não
conta com a segurança adequada, um invasor pode enviar
uma suposta atualização quando, na verdade, estará
mandando um código malicioso.

O ICQ foi criado pela empresa israelense Mirabilis,
que foi comprada pela America Online em junho de 1998
e teve seu nome trocado para ICQ Inc.

Com agências internacionais



http://www1.folha.uol.com.br/folha/informatica/ult124u12856.shtml

_______________________________________________________________________
Yahoo! Mail
O melhor e-mail gratuito da internet: 6MB de espaço, antivírus, acesso POP3, filtro contra spam. 
http://br.mail.yahoo.com/

----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L