发布日期：2008-02-17
更新日期：2008-02-29

受影响系统：

AOL ICQ 6

描述：

---

BUGTRAQ  ID: 28027
CVE(CAN) ID: CVE-2008-1120

ICQ是一款流行的即时通讯聊天工具。

ICQ在生成HTML代码以在内嵌的Internet Explorer组件中显示消息时存在格式串错误，如果远程攻击者向其他用户发送了包含有格式串标识符的特制消息的话，就可以触发这个漏洞，导致执行任意指令。

<*来源：B0B
  
  链接：http://secunia.com/advisories/29138/
*>

建议：

---

临时解决方法：

* 启用“只允许来自我联系人名单上的用户的消息”选项并从联系人列表中删除不可信任的用户。
* 如果启用了“显示来自不认识人消息前请询问”选项的话，拒绝入站消息。

厂商补丁：

AOL
---
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.icq.com/

浏览次数：2254
严重程度：0（网友投票）