Risque
- Exécution de code arbitraire
Systèmes affectés
- Tous les systèmes Windows avec ICQ version 2001A ou antérieure ;
- Tous les systèmes Windows avec ICQ version antérieure à 2001B Beta v5.18 Build #3659 avec le module Voice Video & Games installé.
Résumé
Une vulnérabilité dans certaines versions d'ICQ permet à un utilisateur mal intentionné d'exécuter du code arbitraire sur la machine.
Description
ICQ est un outil qui permet l'échange de messages instantanés entre plusieurs utilisateurs distants. ICQ est très répandu sur les postes clients. Une vulnérabilité existe dans le client ICQ de Windows permettant l'exécution de code arbitraire par un utilisateur mal intentionné. Bien que certaines mesures aient été prises au niveau des serveurs ICQ, cette vulnérabilité demeure exploitable.
Contournement provisoire
Installer la version 2001B Beta v5.18 Build #3659. Celle-ci désinstalle
le module Voice Video & Games
.
Bloquer au niveau du client ICQ les connexions directes provenant de n'importe quel client.
Solution
Il n'existe pas de correctif à ce jour.
Documentation
- Avis du CERT/CC : http://www.cert.org/advisories/CA-2002-02.html