Viele, die sich 1337 fühlen, nutzen ICQ – und versuchen, eine möglichst kurze – meist sechsstellige – Nummer zu ergattern. ICQ, das proprietäre Chatsystem, wo sich die Betreiber die Freiheit nehmen, die übermittelten Informationen anderweitig zu nutzen.
Als wären dies nicht Gründe genug, ICQ links liegen zu lassen, kommen noch die kürzlich entdeckten und bisher ungepatchten Sicherheitslücken im offiziellen ICQ6-Client erschwerend hinzu. Zum einen besteht die Möglichkeit, über den Titel der sogenannten `tZers` aufgrund mangelnder Prüfung beliebigen HTML-Code einzuschleusen. Da ICQ6 zum Rendern der Chats unvorsichtigerweise auf eine bereits installierte Komponente des Internet Explorers zurückgreift, ist es auch möglich, dadurch eine der nicht gerade knapp bemessenen Sicherheitslücken im IE auszunutzen, um die Kontrolle über das System des angegriffenen zu übernehmen oder seinen ICQ-Client abstürzen zu lassen. Die zweite Sicherheitslücke hat vermutlich noch schlimmere Folgen – ICQ6 scheint sämtliche empfangenen Nachrichten als erstes Argument in einem printf()-ähnlichen Funktionsaufruf zu verwenden, wodurch eine Format-String-Vulnerability entsteht. Diese kann ausgenutzt werden, um ICQ6 abstürzen zu lassen, zum Beispiel indem durch mehrere `%s`- oder `%n`-Tokens ein Zugriff auf einen nicht gemappten Speicherbereich provoziert oder durch Grössenpräfixe der Tokens (`%042000000s`) riesige Ausgaben erzeugt werden. Auch der schreibende Zugriff auf gewisse Speicherbereiche im Adressraum des Programms ist möglich, was die Ausführung von beliebigem Code erlaubt. Auch Secunia und Heise haben das Problem mittlerweile entdeckt.
Ist ICQ nun wirklich so 1337 ?
Update, 7.3.08: Nachrichten der Form /%[\.0-9]+[a-zA-Z]+/ werden nun vom ICQ-Server verworfen. Dass dies die Sicherheitslücke nicht fixt, dürfte jedem klar sein, und jeder, der sich auch nur ein wenig mit Format-Strings auseinandersetzt, wird Wege finden, seine Nachrichten am Filter vorbei ans Ziel zu bringen…
Update 2.0, 9.3.08: Der Filter wurde angepasst, nun wird scheinbar alles, was auf /%\S+/ zutrifft, verworfen. Die Sicherheitslücke an sich ist immer noch nicht gefixt, und auch diese Filterregel lässt sich mit dem nötigen Wissen problemlos umgehen…
Update 3.0, 17.4.08: Die Format-String-Schwachstelle wurde mit ICQ6 Build 6059 wie es scheint behoben.
Februar 20, 2008 um 9:39
Danke für den interessanten Artikel. Ich war noch nie von solchen GUI
Programmen begeistert, die noch den Internet Explorer bzw. Komponenten
des Internet Explorers im Hintergrund verwenden. Neben der überladenen
GUI ist das Programm natürlich noch vollgepackt mit Werbung. Als
Entschädigung hat man die Möglichkeit aber die ‘tollen’ Flash-Spiele zu
spielen, was natürlich nur auf Windows läuft. Was will man mehr?
Seit geraumer Zeit verwende ich finch und bin damit sehr zufrieden.
Finch ist die Konsolenversion von Pidgin. ICQ verbietet übrigens die
Nutzung alternativer Clients in den AGB. Als GNU/Linux-User bleibt mir
keine andere Möglichkeit.
Schade nur, dass ICQ in Deutschland so verbreitet ist, ansonsten würde
ich nur auf Jabber setzen.
Meiner Meinung nach sollte man mehr auf offene Standards setzen, aber
bis diese sich erst einmal durchgesetzt haben, können Jahre vergehen…
Februar 20, 2008 um 9:52
Ich auch nicht, und besonders im Falle von ICQ6 sehe ich da absolut keinen Grund zu. So etwas simples wie die Unterhaltung eines Instant-Messengers sollte doch wirklich ohne grössere Probleme `von Hand` zu rendern sein…
Aber wer interessiert sich schon für Sicherheit, wenn man die Entwicklungszeit der `werbefinanzierten` Software verkürzen kann. ICQ Inc. jedenfalls nicht.
Februar 21, 2008 um 7:47
was möchte man auch erwarten?
Doch nicht etwa einen Client der nur die Funktionen bereitstellt die man auch benötigt.
Nein, stattdessen gibts diese tZers oder die Spiele oder die Webcam oder den Push2Talk.
Ach ja die Werbung gibts ja auch noch…
Früher als das mit ICQ angefangen hat, war es schlank und hatte die nötigen Funktionen, ein bisschen Werbung gab es auch, aber auch die Remover dafür. Von 2001 bis ICQ 6 hat sich einiges getan, aber fast nur schrott…
So bin ich froh, dass es für mich Adium gibt und das Programm hat alles was man braucht. Ach ja es unterstützt ja sogar mehrere Clients.
Aber nicht zu vergessen, die ganzen Kiddies möchten das ja alles und finden es so toll.
mfg
Februar 21, 2008 um 7:48
ach ja, ich hab was vergessen:
ganz geschweige von den Pro7 oder Sat1 Versionen, in Hässlichkeit kaum zu übertreffen….
Februar 21, 2008 um 9:01
@goCz und tim: Recht habt ihr, sehe das ähnlich. Gaanz am Anfang nutzte ich noch den damals ziemlich simpel gebauten offiziellen ICQ Client, wenn auch nur für kurze Zeit – da ich wenig später Trillian entdeckte.
Meine erste Trillian Version war die 0.71 (Alpha?) soweit ich mich erinnere, und ich war von anfang an davon fasziniert. Trillian benutze ich heutzutage noch immer, da es im laufe der Jahre wirklich zur Gewohnheit geworden ist, teste auch regelmäßig die neueste Alpha von Trillian Astra.
Habe aber dann immer mehr Miranda für mich entdeckt, was wesentlich flinker ist, und auch weniger ressourcenlastig, und eine große Community hat, die Erweiterungen dafür macht.
In meinen Augen zahlen sich MultiMessengerClients auch bei verwenden von nur einem Protokoll voll aus (Die einzelnen Plugins können sowieso deaktiviert/gelöscht werden). Pidgin, Miranda und Trillian – sollte jeder einmal durchgegangen sein.
Über die originalen ICQ Clients will ich garnicht reden – meiner Meinung nach genauso wie der vollgepackte MSN Messenger den niemand haben will – nur noch mit Werbung vollgepackt.
Aber der Großteil verwendet sowieso QIP.
Februar 25, 2008 um 9:42
ich verwende auch qip. das normale icq-ding is doch ne totale werbe-schleuder. fast schon malware…
und erst recht die pro7 oder sat1-versionen, die schießen ja den vogel ganz ab…
März 14, 2008 um 1:10
Ich benutze Skype. Zawr hat das neue ICQ jetzt die selben funktionen, aber Skype ist immer noch nicht so Werbeverzogen. Auch wenn da die Werbung immer mehr zunimmt. Letztendlich bleibt es wohl jeden selbst überlassen, einige Nutzen ja auch noch den Windows Messenger oder die abgeänderte Variante von Yahoo… Ein wunder das Google da noch nichts hat…
März 14, 2008 um 1:16
Doch, GoogleTalk. Das spricht aber Jabber.
April 21, 2008 um 9:02
Langsam ist es auch nicht mehr normal wieviel Werbung auf isq geschaltet ist. Vor allem die isq- Versionen von pro sieben und sat 1 sind nur so von Werbung überhäuft.
April 30, 2008 um 4:02
Ich persönlich mag QIP nicht so ganz trauen den Closed Source und umsonst aus Russland lässt mich immer etwas aufhorchen(ich sage nur Netpumper). Miranda und Pidgin sind imho immer noch die besten wobei es Miranda nun einmal nicht für Linux gibt und ich persönlich auch nicht bei jedem Stück Software das ich benutzte alles bis auf kleinste zu konfigurieren. Ach und es gibt natürlich eins das immer noch für Pidgin spricht und nicht unerwähnt bleiben darf OTR bzw das offizielles Plugin dafür. Afaik ist dem wesentlich mehr zu trauen als allem anderen. Alleerdings wer kann seinen Bekanntenkreis schon für so etwas sensibilisieren? Schließlich muss das ganze auch auf der andere Seite vorhanden sein.
Am besten wäre auch hier weg von ICQ hin zu Jabber. Mich würde mal intresieren wie viele noch ICQ benutzten würde wenn sie mal die AGBs lesen würde.
Mai 21, 2008 um 5:21
Viele würden es immer noch nutzen da ihnen sowas einfach scheiss egal ist solange sie ach so tollen Flash Spiele haben und gleichzeitig.
Außerdem sagen auch viele “Was habe ich schon zu verbergen” “Gegen die kann man eh nichts machen” oder auch “Ist doch egal als ob sie sowas ernst meinen”.
Ich habe früher ICQ genutzt aber die AGBs und die Benachteiligung der OpenSource Clienten gingen mir so auf die Nerven dass ich nur noch Jabber verwende.
Juli 1, 2008 um 9:08
Spezielle die Benachteiligung der OpenSource Clienten ist jetzt mal wider ganz aktuell wobei ja sogar die hauseigenen Vorgänger mal eben ausgesperrt werden.
Was die Flashspiele und das ganze Gedöns angeht benutzt das aus von meinen Kontakten eh niemand. Nur viele haben halt mal ICQ benutzt und sind dann darauf hängen geblieben oder benutzten es weil ja “alle” ICQ haben. Ich glaube nicht das den Leuten die AGBs egal sind sie lesen sie nur nicht und solange ICQ funktioniert sehen sie auch kein Grund daran was zu ändern.
P.S. Mal schauen wie viele ich jetzt zu Jabber überreden kann