В популярном менеджере отправки сообщений ICQ 6 недавно была обнаружена критическая уязвимость. Данную уязвимость породила ошибка, выявленная в процессе обработки сообщений, которые содержат символы форматной строки. Чтобы успешно использовать уязвимость, злоумышленнику всего лишь нужно отправить пользователю сформированное сообщение, которое может быть открыто в основном окне клиента, или посредством окна pop-up предварительного просмотра.

Наглядный пример сообщение:”%020000000s” . Оно и вызывает отказ в обслуживании ICQ клиента.

Известно, что уязвимости в IM клиентах не новость ни для кого, но в то же время несут в себе серьезную угрозу безопасности. В прошлом году было выявлено и опубликовано 16 уязвимостей в менеджерах оправки мгновенных сообщений, из которых 5 (в MSN Messenger, Trillian, Miranda и Skype) позволяли выполнить произвольный код.

К сожалению, в настоящее время не существует пути устранения уязвимости. Однако, Security Lab рекомендует всем пользователям не работать с уязвимой версией ICQ до выхода исправления.