ICQ, l’instant messenger di proprietà America OnLine, soffre di una grave vulnerabilità in grado di mettere in forte pericolo l’utenza utilizzante il software nella sua versione 5.1. Secunia (SA22670) fa eco all’avviso originario della Zero Day Initiative (scoperta accreditata a Peter Vreugdenhil) francobollando a livello “highly critical” il momento.
Il bug è stato identificato nel controllo ActiveX ICQPhone.SipxPhoneManager, specificatamente nel metodo “DownloadAgent()”. La semplice esposizione di un avatar appositamente costruito è in grado di colpire il destinatario dei messaggi inviati da un malintenzionato, il che configura una situazione di alta pericolosità vista e considerata la pratica comune di molti spammer di inviare messaggi verso utenti vari attirando in vario modo una risposta e l’inserimento nelle buddy list.
La versione 5.1 dell’instant messenger è l’ultima distribuita ed al momento non è disponibile alcuna patch risolutiva. America Online ha avuto notificato il problema in data 20 Ottobre 2006.