Как нам сообщили специалисты SecurityLab.ru, портала по информационной
безопасности, в популярном клиенте для обмена мгновенными сообщениями AOL
ICQ Pro 2003b обнаружена критическая уязвимость, позволяющая удаленному
пользователю провести атаку на отказ в обслуживании или удаленно скомпрометировать
систему, на которой запущена уязвимая версия клиента. AOL/Mirabilis ICQ
клиент - популярная программа мгновенных сообщений, которая позволяет пользователям
общаться с использованием мгновенных сообщений, чатов, электронных сообщений,
SMS и беспроводного пейджера. Клиент ICQ Pro2003b впервые официально появился
30 октября 2003 года и включал возможности взаимодействия с системой обмена
мгновенными сообщениями AIM и другими AOL службами. К тому времени ICQ использовали
около 160 миллионов зарегистрированных пользователей. В настоящее время
клиент ICQ Pro2003b все еще доступен как один из вариантов загрузки с сайта
www.icq.com. Уязвимость существует из-за ошибки проверки границ данных в
функции "MCRegEx__Search()" при обработке сообщений определенного типа.
Удаленный пользователь может указать некорректное значение параметра длины
в сообщении, вызвать переполнение динамической памяти и выполнить произвольный
код на целевой системе. Воспользовавшись этой уязвимостью, злоумышленник
может получить полный контроль над системой. Таким образом, злоумышленник
сможет устанавливать программы, просматривать, изменять и уничтожать данные
от имени пользователя, который запустил уязвимую версию ICQ Pro2003b клиента.