ICQ6 User crashen (Format String Vulnerability)

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von B0B, 13. Februar 2008 .

  1. 3. März 2008
    AW: ICQ6 User crashen (Format String Vulnerability)

    so schwer is das nicht zu beheben und sie habens immer noch nicht gemacht.
    der eine bug existiert schon MONATE!

    btw: es gibt jetz schon exploits, die durch senden einer message auf dem remotepc shell ausführen können, jedoch ist eine library nötig, die UTF-16 unterstützt - und das sind nicht viele.
    trotzdem könnten "kenner" sich viele opfer besorgen...

    also nochmal: hände weg von ICQ !!!
     
  2. 4. März 2008
    AW: ICQ6 User crashen (Format String Vulnerability)

    gerad eben hab ich noch nen bug geschickt bekommen und zwar wird dadurch das senden von nachrichten blockiert. man kann alles lesen was die kontakte schri eben aber nicht zurück schreiben.
     
  3. 4. März 2008
    AW: ICQ6 User crashen (Format String Vulnerability)

    Jo vom PC Acc löschen und neu einloggn oder ICQ reinstallieren sollte helfen
     
  4. 4. März 2008
    AW: ICQ6 User crashen (Format String Vulnerability)

    hm, habe icq 6 und habe es jeden tag an. heute nachmittag habe ich es wieder gestartet und icq hat von alleine ein update installiert. ...sowas hatte ich schon mal vor 2-3 wochen. was soll sowas??? ist mit dem update die lücke vllt. geschlossen???

    (ich habe auch miranda bei mir drauf und könnte mal testen ob ich mich selbst crashen kann, ...allerdings habe ich gerade keine zeit und lust mein icq dann neu zu installieren, weil ich es doch wegen ein paar features lieber nutze als miranda)

    (hatte übrigens schon leute, die mir gesagt haben, dass sie auch nach dem crash bei normaler benutzung immerwieder kleinere fehler im icq haben ?( glaub zwar nicht so ganz daran, aber naja.)

    also wer irgendwas zum thema "automatisches icq-update" was heute scheinbar rausgekommen ist findet, kann ja mal dazu schreiben!

    bin weg
    ciao
     
  5. 4. März 2008
    AW: ICQ6 User crashen (Format String Vulnerability)


    Es gibt definitiv automatische Updates, doch behoben wurde durch die letzten nichts!
    Ja ICQ6 ist sehr buggy, deswegen würde ich das garnicht est installieren.

    @fanatic: icq6 reinstallen bringt nix ^^
    http://www.icq6bug.x2.to

    bin noch an nem patch dran, um das ganze vorzubeugen..
     
  6. 4. März 2008
    AW: ICQ6 User crashen (Format String Vulnerability)

    du willst nen patch dafür machen ????
    BOB du bist echt hart drauf in sachen pc ^^
     
  7. 4. März 2008
    AW: ICQ6 User crashen (Format String Vulnerability)

    ich versuchs zumindest, auch wenns nich gerade aussichtsreich ist...
     
  8. 4. März 2008
    AW: ICQ6 User crashen (Format String Vulnerability)

    is ja auch nich deine aufgabe. sollen die sich halt eine alternative holen. gibts ja genug zb. miranda ^^
     
  9. 5. März 2008
    AW: ICQ6 User crashen (Format String Vulnerability)

    Wow auf der Seite liegt jetzt auch deine ICQ-Nr. public..
    wirste da jetzt nicht zugespamt?
     
  10. 5. März 2008
    AW: ICQ6 User crashen (Format String Vulnerability)

    das ist schon seit jahren meine public nummer, hab da eh nen spambot.
    ausserdem werden user du mich volllabern ignoriert
     
  11. 5. März 2008
    AW: ICQ6 User crashen (Format String Vulnerability)

    "Webpager message from Unregistriert (daywalker2209@googlemail.com):
    Sender IP: 78.49.220.165
    Wenn man jemanden diesen code schickt, dann muss man ihm ja noch mal schreiben, damit sein icq abkackt. wenn ich einer person diesen code geschickt habe und ich ihm erst morgen was schreibe, wird sein icq dann auch gekillt"

    kam gerade an
    mich wollte wohl wer pwnen^^ schade das ich miranda benutze
     
  12. 6. März 2008
    AW: ICQ6 User crashen (Format String Vulnerability)

    Also Leute, mein erster Post hier^^
    Im IE8 haben die Leute aus Redmond anscheinend die
    "<style>*{position:relative}</style><table><input></table>"-Lücke gepacht
    schade...aber wer hat den IE8 denn bitte schon, gibts ja bisher nur als Beta 1 bisher
    außerdem haben die ICQ-Leute die Format String Vulnerability gepacht...es gibt anscheinend bestimmte strings, die einfach nichtmehr angezeigt werden...weil mit denen, die das ICQ nicht komplett crashen geht es noch^^
    auch
    %o%f%f%l%i%n%e geht noch
    also anscheinend haben die wie gesagt nur bestimmte strings ausgesperrt...xD
     
  13. 7. März 2008
    AW: ICQ6 User crashen (Format String Vulnerability)

    d.h. %020000000s geht nicht mehr?
     
  14. 7. März 2008
    AW: ICQ6 User crashen (Format String Vulnerability)

    Kann gut sein!

    Ich habe mich gerade 30 Minuten mit einem "ICQ Supporter" unterhalten, der anscheinend gute "Connections" zu den ICQ Entwicklern hat.
    Er meint, dass der tzer Bug von ICQ aus nicht gefixxt wird - sie warten lieber bis Microsoft einen Patch für den IE rausbringt - wenn sie dass aber nicht machen sollten, werden sie das stopfen.
    Der Format String Bug wird nicht "gefixxt" sondern bestimmte Befehle werden vom Server gefiltert.
    Als ich ihm dann vom (schon existierenden) Exploit erzählt habe, was er aber sehr interessiert...
    Naja zuerst is er mir blöd gekommen und meinte es sei mir untersagt "third party clients" zu benutzen - was mir ja klar, aber auch gal ist...

    Naja am Ende hab ich bemerkt, dass er aus Deutschland kommt und ich eigentlich garnicht hätte englisch schreiben zu brauchen ^^ Naja...

    Also es wird so schnell keinen "fix" geben, jedoch werden bestimmte strings eben gefiltert - aber das kann man auch umgehen, ohne probleme...


    ps: wers genau wissen will, es werden alle zeichen gefiltert, die ein % zeichen for einem string haben, wenn keines nach kommt. also %020000000s wid gefiltert %020000000s% nicht
     
  15. 7. März 2008
    AW: ICQ6 User crashen (Format String Vulnerability)

    dann sollt man allen abraten icq zu benutzen ! is doch sonst blöd wenn man die ganzen leute immer crashen kann oder sonst was. wie ich schonmal gesagt habe -> es gibt genung alternativen !!!
     
  16. 7. März 2008
    AW: ICQ6 User crashen (Format String Vulnerability)

    ich glaub er erzählt , denn bei mir geht das ganze noch...
     
  17. 7. März 2008
    AW: ICQ6 User crashen (Format String Vulnerability)

    zum patch von microsoft: ist in der Beta vom IE8 wie gesagt eingebaut, bleibt abzuwarten, ob sie es im IE7 noch patchen werden.

    letzteres scheint nicht ganz so zu sein, da %p bei mir noch zu einem zeitpunkt funktioniert hat, als %020000000s schon nicht mehr ging...kann aber auch sein, dass die da nochmal was dran gemacht haben...und %p gibt ja auch nur den Stack aus.
     
  18. 7. März 2008
    AW: ICQ6 User crashen (Format String Vulnerability)

    also bei mir funzt das ganze net ^^
    ich hab jetzt schon 2 verschiedenen leuten nen tzer mit dem namen "<style>*{position:relative}</style><table><input></table>" geschickt und keiner (beide nutzen icq6) is off gegangen nachdem ich noch ne nachricht geschickt habe...

    PS: benutze die neuste version von miranda fusion


    modmk
     
  19. 9. März 2008
    AW: ICQ6 User crashen (Format String Vulnerability)

    funktioniert auch nicht bei allen. habe auch schon 1-2 leute mit icq 6 gehabt, die ich zig mal probiert habe zu kicken...ging nicht. also ich schätze jetzt mal so, bei 90% hats bei mir bisher funktioniert

    p = char, das andere sind strings bzw. oder float-werte. vllt. waren chars damals einfach noch nicht gesperrt. (sry, wenn ich was falsches geschrieben habe, ...ist nur ne kleine vermutung. habe seit ca. 2-3 jahren nicht mehr wirklich programmiert und bin total raus)
     
  20. 13. März 2008
    AW: ICQ6 User crashen ^^

    so viel wie ich weiß soll es auch funktionieren wenn man sich in "%020000000s" umbenennt und leute die man addet und anschreibt nicht mehr viel machen können die müssen sich dann nen anderen messenger ziehen um euch dann zu ignorieren da sie sonst nicht mehr reinkommen.
    da hilft dann auch kein "%appdata%/icq/icq nummer/" um die "messages.mdb" zu löschen
     
  21. 14. März 2008
    AW: ICQ6 User crashen ^^

    hatte ich schon getestet, ging nicht!
     
  22. 14. März 2008
    AW: ICQ6 User crashen ^^

    mh ich kriegs irgendwie nich hin
    hab das

    <style>*{position:relative}</style><table><input></table> genau so als name vom tzer reinkopiert und per miranda einem icq 6 user geschickt und auch normale nachrichten aber es is nix passiert
     
  23. 14. März 2008
    AW: ICQ6 User crashen ^^

    Es gibt manchmals ICQ 6 Versionen die dagegen gepatched sind.
     
  24. 15. März 2008
    AW: ICQ6 User crashen ^^

    was ging nicht das zu löschen oder das mit dem namen?
     
  25. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.