近日,國(guó)外某網(wǎng)站的研究者在即時(shí)通信軟件Mirabilis ICQ Pro上發(fā)現(xiàn)了六個(gè)安全漏洞。這些漏洞的存在使得黑客有了更多的方法遠(yuǎn)程控制運(yùn)行該軟件的計(jì)算機(jī)。它影響著包括ICQ Pro 2003a在內(nèi)的,以及此版本之前的所有版本。而ICQ Lite和其他一些免費(fèi)的版本并沒(méi)有受到影響。
這些漏洞在Windows操作系統(tǒng)上已經(jīng)經(jīng)過(guò)測(cè)試證實(shí)。研究者還相信在其他操作系統(tǒng)上問(wèn)題可能也同樣存在。
這些漏洞在ICQ的很多組件上,包括收取e-mail信息功能、標(biāo)題廣告演示和GIF格式圖象,甚至在用以軟件功能升級(jí)的代碼上都存在。最嚴(yán)重的安全漏洞是在POP3 mail client上。
在測(cè)試中,研究者可以利用漏洞遠(yuǎn)程占領(lǐng),并從運(yùn)行Win NT的計(jì)算機(jī)上發(fā)出密碼和mail文件。格式串的漏洞和溢出緩沖區(qū)上的漏洞可以使得黑客遠(yuǎn)程侵入運(yùn)行ICQ的計(jì)算機(jī)并在系統(tǒng)上執(zhí)行惡意代碼。黑客可以使用異常格式的e-mail信息來(lái)達(dá)到傳播攻擊的的目的。
研究者說(shuō),所有發(fā)現(xiàn)的漏洞都是嚴(yán)重的,至少可以使得ICQ崩潰。但是,這些問(wèn)題并沒(méi)有得到AOL公司的任何回應(yīng)。在缺少補(bǔ)丁的情況下,研究者建議用戶(hù)最好的保護(hù)方法是:禁用ICQ上的POP3和需求欄服務(wù),在公共環(huán)境中使用ICQ應(yīng)啟用郵件過(guò)濾服務(wù)。用戶(hù)的安全意識(shí)對(duì)應(yīng)付漏洞是最重要的。
