Vulnerability Bulletins |
Múltiples vulnerabilidades en Mirabilis ICQ |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Probable |
Impact | Obtener acceso |
Dificulty | Avanzado |
Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
Property | Value |
Affected manufacturer | Exotic Software |
Affected software | Mirabilis <= Mirabilis ICQ Pro 2003a |
Description |
|
Se han descubierto múltiples vulnerabilidades en el popular programa de mensajería instantánea Mirabilis ICQ, que puede causar varios tipos de impactos: desde una denegación de servicio a los usuarios a la ejecución de código arbitrario. Hay 5 vulnerabilidades: -Bug de formato en el campo UIDL del cliente POP: Un bug de formato puede ser explotado con éxito si un atacante puede suplantar la identidad del servidor POP3. -Desbordamiento de los campos "Asunto" y "Fecha" en el cliente POP3: Un atacante podría ejecutar comandos arbitrarios enviando una cabecera de correo malformada a un cliente vulnerable. -Vulnerabilidad en "Icq Features on Demand": Un atacante podría instalar software malicioso en el sistema (y así podría ejecutar comandos arbitrarios). -Denegación de servicio con los mensajes de publicidad: ICQ muestra publicidad en HTML, que puede contener código malicioso y causar una denegación de servicio si un atacante suplanta la identidad del servidor estático de publicidad. -Error de validación de entrada en la library de interpretación de GIF's: Un problema analizando las cabeceras GIF89a puede causar una denegación de servicio. |
|
Solution |
|
Actualización de software: Mirabilis ICQ http://c2.com/cgi/wiki?MirabilisIcq |
|
Standar resources |
|
Property | Value |
CVE |
CAN-2003-0235 CAN-2003-0236 CAN-2003-0237 CAN-2003-0238 CAN-2003-0239 |
BID | |
Other resources |
|
Bugtraq Mailing List: "Multiple Vulnerabilities in Mirabilis ICQ client" 5/5/2003 http://marc.theaimsgroup.com/?l=bugtraq&m=105216842131995&w=2 |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2003-05-09 |