Cum să renunțați la icq 6

Am dat peste Google-Alert pe blogul cuiva. Iată traducerea articolului care ma interesat (a se vedea "sursa"). Poate că pentru cineva aceste informații vor fi utile.

Executarea codului ICQ 6.0 de la distanță și accident

Informațiile sunt destinate numai pentru referință. Folosirea acestuia pentru scopuri "de luptă" poate cauza răspunderea în temeiul legii privind "accesul neautorizat".

Esența problemei este că ICQ 6 prelucrează incorect mesajele tZer ("teaser" - de la teaser - "teaser"). Există mai multe vulnerabilități care vă permit să obțineți controlul asupra unui computer la distanță, dar acum este o chestiune diferită. Instrumente necesare: Miranda IM cu protocolul modificat ICQ Plus și un computer cu ICQ 6 instalat pe acesta (și, de asemenea, un prieten care acceptă să fie victimă a experimentului)

Pentru a începe, dacă nu știți, trebuie să știți că fereastra de conversație din ICQ are o pagină html afișată utilizând IE. Iată o scurtă descriere a tZer, dacă nu știți ce este:
ICQ tZer-s sunt animații scurte care pot fi trimise interlocutorilor în fereastra de conversație.






"Cool!" veți spune: "E rău!" Voi spune. Există un dezavantaj cu care programele terță parte pot trimite codul generat în mod greșit în loc de un teaser legal. Proprietarul clientului "nativ" ICQ este "cinci", dacă a dezactivat executarea automată a teaserilor.

Deci, să începem. Deschide fereastra de conversație din Miranda și selectează "Run tZer". Parametrul "Name" (denumirea teaserului) nu este filtrat, ceea ce permite trimiterea acestuia, de exemplu, "teaser":

Rețineți că la începutul liniei am închis eticheta de referință. Încercați să nu îl închideți și să vedeți ce se întâmplă. Deci, acum știm că ICQ vă permite să primiți un cod html arbitrar. Si pentru ca toate versiunile Windows (cu excepția primei 95) sunt livrate cu cusute Internet Explorer, de ce nu bang motor de IE ... am de gând să profite de vulnerabilitatea DoS (Denial of Service), găsit în MS IE 6.0 (Mshtml.dll div), a trimis următoarea: