安全專家發(fā)現(xiàn)美國(guó)在線ICQ軟件存在嚴(yán)重缺陷

　　核心安全技術(shù)公司在對(duì)幾個(gè)公共安全郵件列表發(fā)出的公告中描述了ICQ軟件易受攻擊的缺陷。盡管該公司共發(fā)現(xiàn)了六處缺陷，但是只有兩個(gè)存在嚴(yán)重隱患，因?yàn)樗鼈兛梢宰尮�擊者在被攻擊的電腦上運(yùn)行程序。
　　核心公司技術(shù)總監(jiān)Arce說(shuō)，然而，與每個(gè)缺陷相連的危險(xiǎn)在于，這種危險(xiǎn)高度地依賴于ICQ所采用的環(huán)境。通常我們?cè)诠�告中不做任何假設(shè)，因?yàn)槲覀儾徽J(rèn)為以一種措施應(yīng)對(duì)所有問(wèn)題的方案是有效的。
　　有缺陷的ICQ PRO 2003a 客戶端程序是美國(guó)在線的ICQ即時(shí)信息軟件的最新版，在一家主要網(wǎng)站上它已被下載了2.28億次。去年，美國(guó)在線公司提供了所謂的ICQ Lite壓縮版。核心公司的公告說(shuō)，后者沒(méi)有缺陷問(wèn)題。
　　美國(guó)在線公司的ICQ部門在周一沒(méi)有對(duì)所謂的缺陷發(fā)表任何評(píng)論。安全研究人員還指出，他們還發(fā)現(xiàn)了導(dǎo)致ICQ安全隱患的問(wèn)題。
　　核心安全公司稱，有三個(gè)缺陷，其中包括一個(gè)具重大威脅的缺陷，它發(fā)生在ICQ軟件的電郵程序中，如果攻擊者能夠模擬用戶的電郵服務(wù)器，電郵組件缺陷可讓攻擊者采用軟件處理電郵的方法讓電郵程序運(yùn)行程序。
　　其他所謂危急的缺陷發(fā)生在ICQ軟件可自動(dòng)升級(jí)的功能上。因?yàn)樽詣?dòng)升級(jí)組件沒(méi)有足夠安全措施，攻擊者可以假裝發(fā)送合法的升級(jí)信息，而此時(shí)這個(gè)升級(jí)信息實(shí)際上是一個(gè)惡意代碼。

ChinaByte(e.chinabyte.com)