Sicherheitslücke

ICQ Auto-Update anfällig

ICQ prüft automatisch herunter geladene Updates nicht auf ihre Echtheit. So ließe sich über den Instant Messenger Malware einschleusen, wie ein Informatik-Student aus Darmstadt heraus gefunden hat.

ICQ Auto-Update anfällig

© Frank Ziemann

ICQ Auto-Update anfällig

Software, die nicht sorgfältig genug prüft, woher ihre Updates stammen, gibt es wahrscheinlich jede Menge. So musste etwa das BSI die AusweisApp für den neuen Personalausweis aus diesem Grund überarbeiten lassen. Jetzt hat ein Informatik-Student der TH Darmstadt eine solche Update-Schwachstelle im Instant Messenger ICQ aufgedeckt.Wie Daniel Seither in seinem Blog berichtet, lädt ICQ 7 bis einschließlich der aktuellen Windows-Version 7.2.3525 automatische Updates aus dem Internet, ohne die Authentizität der Aktualisierungen zu überprüfen. Eine solche Prüfung könnte etwa mit digitalen Signaturen für die Dateien oder mit einem SSL-Zertifikat für den Update-Server erfolgen.Ein Angreifer könnte durch DNS-Manipulationen (DNS-Spoofing) die URL des Update-Servers auf eine andere IP-Adresse umlenken. Mit einem von dort ausgelieferten, manipulierten Update könnte er Malware einschleusen, die ICQ dann installieren würde.ICQ prüft beim Programmstart automatisch, ob Updates verfügbar sind. Dieses Verhalten lässt sich auch nicht abschalten. Daniel Seither hat einen einfachen Demo-Exploit bereit gestellt, der aus zwei Python-Scripts besteht. Eines generiert die Update-Datei, das andere dient als Web-Server.Eine Reaktion von Seiten des ICQ-Herstellers ist bislang nicht bekannt. Das US-CERT (Computer Emergency Response Team) hat deshalb eine Sicherheitswarnung veröffentlicht.

Mehr zum Thema

Firefox
Mozilla-Browser

Mozilla hat Firefox 38 zum Download freigegeben. Die neue Version des Browsers bringt unter anderem ein DRM-Modul von Adobe mit. Wir erklären, was…
Firefox
Suggested Tiles

Mozilla stellt das neue Werbe-Feature Suggested Tiles für Firefox vor. Der Browser wird künftig Anzeigen auf Basis der Browser-Historie anzeigen.
Skype
Schwerer Bug

Nutzer von Skype auf Windows, Android und iOS sollten sich vor einem schweren Bug in Acht nehmen. Eine Nachricht mit einer bestimmten Zeichenkette…
Threema Logo
Sichere Whatsapp-Alternative

Die sichere Whatsapp-Alternative Threema ist für kurze Zeit auf 99 Cent reduziert. Den Download gibt es für iOS, Android und Windows Phone.
Neue Snowden-Enthüllungen offenbaren eine deutsche Beteiligung.
Nutzerdaten in Gefahr

VPN-Tools haben Sicherheitslücken. Nutzerdaten können offengelegt werden. Schuld sind neben den Entwicklern die Provider und…