DoS в ICQ 6

    Баг найден мною(Hormold) и Doom123

    Программа: ICQ 6

    Опасность: Средняя

    Наличие эксплоита: Да


    Описание:
    Уязвимость позволяет удаленному пользователю произвести DoS атаку.

    Необходимо установить в ники "</a>" и добавиться в КЛ жертвы и что бы он вас добавил.
    Есть вероятность работы такого в запросе Авторизации.
    А если написать сообщение, ICQ 6 будет вылетать при открытии истории!

    URL производителя: icq.com

    Решение: Способов устранения уязвимости не существует в настоящее время.

    P.S. Можно попробовать извенить имя на </a> и написать себе :)
    Поделиться публикацией
    Похожие публикации
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 57
    • –9
      Пользователя удалили и он мстит? :)
      • +21
        icq опасносте =)
        красавцы, пашет на ура.
        • –2
          круто!!!
          • +23
            Я может бы и позлорадствовал на аолом, ну, в связи с последними попытками пересадить русских пользователей на icq, но что над убогими издеваться и так все понятно.

            А вы парни молодцы, отличный ответ забугорным капиталистам, мол мы не будем сидеть на вашем клиенте потому что он говно! Вот пруфскрипт! :)
            • +2
              Перенесите в IM:
              habrahabr.ru/blogs/im/
              • +5
                Или в блоги по безопасности.
                • +1
                  ICQ 6 Вылетает и так же при включении :)
              • –2
                Что произойдет то?
                • +2
                  Супер, сейчас буду просвещать оставшихся на icq, что ей пользоватся небезопасно)))
                  • +1
                    и что? вот рядом последние фф и опера вылетают на уязвимостях, которым больше полугода — хоть кто-то перестал ими пользоваться?)))
                    • –6
                      Причём тут Опера? Линк на ломалку ФФа, Опера 10 чувствует себя великолепно.
                        • 0
                          Лень проверять, так что будем считать, что Вы победили :). Я с версии 9 Оперы не верю в её неуязвимость, увы и ах.
                          • 0
                            мне не жалко )) Opera DoS link (осторожно)
                            • 0
                              Не получается посмотреть, почему-то Опера падает… ;)))))))
                      • 0
                        А есть ли альтернатива по функциональности Опере и ФФ? Разве что Сафари/Хром, но по возможностям они беднее.
                        А сравнивать возможности icq и jabber’а просто смешно))))
                      • 0
                        вам рассказать про такие же «штучки» в QIP'е? )

                        шлем RTF сообшение {\rtf\pict\&&} и qip скушивает все доступные ресурсы.
                        • +1
                          У меня среди знакомых почти никто им не пользуется т.к. там нет jabber’а.
                          А с QIP Infium такой фокус не пройдет)))
                      • 0
                        Все работает:)спасибо:)пробегусь по знакомым:)
                        • 0
                          Хорошо хоть что ICQ устроена так, что если ее инсталить то старую версию (текущая-то 6.5) не установиш.
                          • 0
                            Вообще-то мне кажется, что это я уже где-то видел. Аська весьма лояльно относится и к другим тегам в имени пользователя.
                            • 0
                              И к другим тоже лояльно? )
                            • –35
                              Удивительно. AOL БЕСПЛАТНО позволяет пользоваться своим сервисом, и при этом её же всё время ругают. Откуда вы все узнаёте о багах ICQ и почему это так вам интересно, если вы перешли на Jabber? Или не перешли, а продолжаете на халяву пользоваться ICQ и при этом обсирать компанию, которая его поддерживает?
                              • +14
                                Уважаемый Pilat! Начиная с того, что AOL предоставляет пользование асей далеко не бесплатно, по крайней мере в официальном клиенте — рекламы там, прямо скажем, немало, и соответсвенно доходы AOL тоже мягко говоря не нулевые.

                                Во вторых, лично я перешёл на джаббер, да. В основном, ибо море контактов по каким-либо причинам продолжают оставаться в асе, и даже если я очень бы захотел, я бы не смог отказаться от неё.

                                А в третьих… Уж извините, но я не вижу ничего плохого в том, чтобы (а) говорить правду о плохих вещах и севисах и (б) я собственно не вижу в топике выше «обсирания» — только честное описание баги, причём довольно серьёзной.
                                • –23
                                  Estar, а Вы вообще в этом топике не высказывались, но почему-то на свой счёт всё приняли.

                                  ЗЫ
                                  Считаете чужие деньги? Доходы AOL спать не дают? Один из популярнейших сервисов Интернета — плохая вещь? Ну-ну…
                                  • +7
                                    Не принимал я ничего на свой счёт, с чего Вы взяли? Как раз наоборот, мне кажется, что Вы как-то слишком резко реагируете, будто бы это как-то задевает лично Вас.

                                    «Один из популярнейших сервисов Интернета» — вещь безусловно замечательная. Была. Скажем, когда я регистрирвался — году, не соврать бы, в '97. Тогда это был прорыв, революция, это давало уйму возможностей, и отмечу отдельно, по уровню сервиса им не было равных. И то, что называется асей сейчас, не идёт ни в какое сравнение с тем, что было тогда. Я благодарен асе за то, что она сделала, но если они кардинально не пересмотрят свою политику, доходы AOL (на которые мне, к слову, наплевать) имеют все шансы испариться.
                                    • –1
                                      насчет доходов, Estar лишь ответил вам, что оффициальная icq не беслатная.

                                      Один из популярнейших сервисов Интернета — плохая вещь? да. много рекламы, неинтуитивный интерфейс, много памяти сжирает.подробнее habrahabr.ru/blogs/im/51450/

                                      популярно — не значит хорошо.
                                      • 0
                                        Один из популярнейших сервисов Интернета на территории СНГ, не забывайте этого
                                        И это действительно плохая вещь, ибо проприетарна
                                        • +3
                                          Троль, уходи.
                                      • +4
                                        Можно и «пообсирать». Программа настолько неудобная, тупая и дико глючная что тот кто ее писал точно был обосравшись. Извините за пошлятинку.
                                        • 0
                                          Совершенно согласен, это только у них такие компьютеры на которых она летает…
                                          • +1
                                            Самое интересное — узнать как к ней относятся на Западе, какие отзывы доходят до разработчиков и что они там себе думают. Ведь от версии к версии программа совершенно не изменяется, а только раздувается сомнительным функционалом.
                                            • 0
                                              На IXBT есть топик, в котором с пользователями общаются разработчики ICQ. Насколько они реальные разработчики ХЗ.
                                              Ссылка: forum.ixbt.com/topic.cgi?id=24:38693

                                              Правда ветка умерла считай, да и вообще форум на ИКСБТ какой-то мёртвый стал. Я там пару лет не появлялся, так зашёл и обалдел, в некоторых разделах новые темы появляются раз в несколько дней, ответов мало, или нет совсем.
                                              • +1
                                                Окинул оком. Самые радикальные предложения конечно проигнорированы (например убрать баннеры). По-моему работать над нынешним интерфейсом бесполезно. Он какой-то дедсадовский, мода позавчерашнего дня. В общем удивляться нечему. Все могущественные корпорации когда-нибудь слепнут на один глаз.
                                          • –5
                                            Ёжики матерились, но продолжали есть кактус…

                                            Я вот даже не знаю насколько она неудобная. Есть куча других клиентов, так нет — надо пользоваться чужими деньгами и при этом ругать за то, что хотят их заработать.

                                            Сколько кликов, интересно, все отписавшиеся сделали по баннерам в аське? Сколько заработала на вас АОЛ? Что-то у меня есть подозрение что нисколько. Халявщики, да ещё и жалуются на то, что халяву отбирают.
                                            • +1
                                              Понимаете, это похоже на политику. Вы голосуете за одного кандидата, а побеждает совершенно другой. И что вам делать следующие 5-10 лет? Не жить, игнорировать всё происходящее? Т.е. нельзя быть в стороне от того что тебя касается напрямую.

                                              ICQ — рудимент которого мы на этой странице изгоняем, чем больше такой информации, тем меньше ICQ. Мы всего лишь добиваемся своих благих целей, направляя несведущих на путь истинный. От того что AOL не заработает или заработает денежку ни одному из нас ну никакого делать нету, нам самим он мешает вот и всё.
                                          • 0
                                            пусть еще раз банит все русские ипы, но теперь не на три-пять дней, как это раньше было, а на месячишко-другой, как к примеру, емнип, с турцией произошло. В результате народ мигрирует на жаббер со страшной силой, ввиду чего обсирание осеку продолжится первые два месяца, возможно меньше. А потом про асю все просто забудут ибо прекратят пользоваться
                                            • 0
                                              Удивительно другое, у AOL есть AIM который выглядит по-человечески, работает по-человечески и хоть реклама в нём есть но она не раздражает нисколько.

                                              И есть аська официальная, которая выглядит как дурной цирк-шапито.
                                              • +17
                                                troll detected!

                                              • 0
                                                ну вот и еще один довод в пользу XMPP based IM )
                                                • 0
                                                  Вот теперь я получил бан по IP в icq.
                                                  Очень жаль, но войти не могу :(
                                                  • 0
                                                    я тоже не могу войти, но только через официальный клиент, Miranda и Meebo входят без проблем :)
                                                  • +1
                                                    Во блин, даже и постетись не могу, в контакт листе всё только Квипы и Миранды :)
                                                    • +3
                                                      Просто надо подождать, пока AOL поймет, что с нами сражаться бесполезно — с таким массово врожденным чувством идеализации халявы они вряд ли засиавят нас использовать родной клиент.

                                                      В комметах вспоминалось про AIM, мол, все пользуются официальным клиентом в америке, но поверьте, это не так — ~65% всех пользователей этого сервиса сидят на альтернативных клиентах без «фирменной» рекламы и бед не знают. Что-то здесь не так (с)
                                                      • +2
                                                        У меня в КЛ много немцев, из них примерно половина сидит на 6.0 и 6.5. Раньше сидело больше, кому показал QIP, в большинстве своем уже не возвращались.
                                                        • +1
                                                          Надеюсь, хотя бы Infium, иначе проблемы с кодировкой обеспечены.
                                                          • 0
                                                            У меня стоит Infium, прием русских сообщений (от разных клиентов) работает не всегда. Но поскольку 99% моего общения происходит на немецком, особых проблем это не составляет.
                                                            • 0
                                                              у Infium таких проблем больше нет, а вот от старых версий QIP я получаю кракозябры всегда в оффлайн, и частенько в онлайн.
                                                              Жду, когда же AOL их всех забанит, чтобы перешли на нормалиные клиенты :)
                                                        • 0
                                                          В комментах это не вспоминалось.
                                                          Вспоминалось только разительное отличие графического исполнения АИМ от ICQ.
                                                          А контора одна.
                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                          • 0
                                                            Странно, но в топике на античате Doom123 вообще не упоминает автора поста; пишет, что баг нашел сам.
                                                            https://forum.antichat.ru/threadedpost1134330.html
                                                            • 0
                                                              он вроде редактнул что оба нашли
                                                            • 0
                                                              А вроде что-то из этой серии (проблемы с парсингом html) ещё в 2008 на секьюнии было, нет?
                                                              • +1
                                                                на securitylab.ru заметку добавили :)
                                                              • –1
                                                                Шикарно :).
                                                                • +1
                                                                  побольше бы таких багов :)

                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.