Boston (USA) – Core Security Technologies ha descritto in un advisory sei vulnerabilità di sicurezza scoperte recentemente nel popolare client di instant messaging di America Online, ICQ.
Le falle più gravi sono due, entrambe sfruttabili da malintenzionati per eseguire del codice a propria scelta sul computer dell’utente: una è contenuta nel componente che nel client di ICQ gestisce la posta elettronica, mentre l’altra risiede nella funzione di aggiornamento automatico del software. L’insicurezza delle funzionalità di auto update è un tema emerso più volte in passato, soprattutto per il numero crescente di software che lo adottano.
Fra le versioni vulnerabili del client c’è ICQ Pro 2003 e tutte le release precedenti: sarebbero al sicuro, invece, gli utenti della versione Lite del client.
Core Security sostiene di aver più volte notificato ad AOL, fra marzo e aprile, la scoperta delle sei vulnerabilità: ad oggi, tuttavia, l’azienda afferma di non aver ricevuto nessun tipo di feedback.
Nel campo della messaggistica istantanea la sicurezza è divenuta una priorità soltanto di recente, quando questa forma di comunicazione ha fatto il suo ingresso nelle aziende. ICQ, tuttavia, rimane un prodotto esclusivamente orientato agli utenti consumer e basato in larga parte sul vecchio codice sviluppato da Mirabilis, la mamma di ICQ acquisita da AOL nel 1998.
Ti potrebbe interessare
7 mag 2003