Автоматическое добавление пользователей в ICQ 200x*

Дата публикации:
23.08.2001
Дата изменения:
17.10.2006
Всего просмотров:
8646
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание:

Когда ICQ установлен, он добавляет Content-Type к Microsoft Internet Exploder, тип "application/x-icq". Когда IE получает " Content-Type: application/x-icq" от web сервера следующего содержания:

[ICQ User]

UIN=<uin>

Email=

NickName=

FirstName=

LastName=



IE автоматически загрузит содержание и заставит ICQ добавить этот UIN к контактному листу.

Когда web-мастер создает страницу, содержащую эксплуатирующийся код, приведенный ниже, пользователь будет автоматически добавлен к списку контакта жертвы. Эта ошибка может эксплуатироваться против любой программы, которая использует IE.

Эксплоит просто использует ICQ Web сервер, используя search.dll:

<HTML>
<META HTTP-EQUIV="REFRESH" CONTENT="0;URL=http://wwp.icq.com/scripts/search.dll?to=<uin>">
</HTML>

 


или введите имя

CAPTCHA