Как сообщает группа ZDI в программе America Online ICQ 5.1 была обнаружена уязвимость, позволяющая выполнить произвольный код на целевой системе без вмешательства пользователя.
Данная уязвимость вызвана ошибкой в компоненте ActiveX
ICQPhone.SipxPhoneManager, точнее - в функции DownloadAgent
CLSID компанента: 54BDE6EC-F42F-4500-AC46-905177444300
Уязвимая функция принимает одиночный аргумент - URI файла для скачивания и выполнения с правами текущего пользователя. Специально сконструированный аватар может позволить выполнить произвольный код, для чего потребуется просто отправить сообщение потенциальной жертве.
Корпорация AOL исправила уязвимость 10/31/2006 и предоставляет автоматическое обновление при подключении к серверам ICQ.
Уязвимость обнаружил Peter Vreugdenhil.
