发布日期：2009-08-14
更新日期：2009-08-17

受影响系统：

AOL ICQ 6.5

描述：

---

BUGTRAQ  ID: 36041

ICQ是一款流行的即时通讯聊天工具。

ICQ客户端软件存在HTML注入漏洞。由于用于显示所接收到消息的窗口具有Web浏览器的性质，因此远程攻击者可以向ICQ客户端发送包含有文本数据的特制消息，其中的文本数据会在入站消息窗口中解释并显示为HTML代码。

这个漏洞可能造成两种影响：

1. 信息泄露。例如，攻击者可以注入可能导致信息泄露的<IMG>标签。
2. 欺骗。攻击者可以再消息窗口中伪造ICQ客户端软件的系统消息、界面元素（按键、链接）等。

<*来源：Maxim A. Kulakov （ss_contacts@hotmail.com）
  
  链接：http://marc.info/?l=bugtraq&m=125026611727650&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

file://1"></a>[HTML CODE]

建议：

---

厂商补丁：

AOL
---
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.icq.com/

浏览次数：2283
严重程度：0（网友投票）