Según informó el grupo de seguridad Core Security Technologies, se detectaron seis nuevas vulnerabilidades en el cliente de mensajería instantánea Mirabilis ICQ. Las mismas afectan a Mirabilis ICQ Pro 2003a y versiones anteriores, y pueden llegar a explotarse de diversas formas que van desde impedir el uso de los servicios de ICQ a la ejecución de comandos arbitrarios en los sistemas vulnerables.

Varias de las vulnerabilidades afectan al cliente POP3 integrado en ICQ, de manera que un ataque de formato de cadenas podría ser empleado para suplantar el servidor POP3. También existe un desbordamiento de buffer en el campo "Subject" de las cabeceras del e-mail que puede ser utilizado para ejecutar comandos arbitrarios. Algo similar ocurre en el campo "Date".

Por su parte, una vulnerabilidad en la funcionalidad de actualizaciones automáticas ("Features on Demand") permitiría a un atacante la instalación de código malicioso. Otro de los problemas podría causar un ataque de denegación de servicio mediante la falsificación de avisos HTML que provoquen el uso del 100% de la CPU.

Por último, existe una vulnerabilidad en el tratamiento de las cabeceras de archivos GIF que puede ser empleada para provocar una denegación de servicio.
Links
http://www.coresecurity.com/common/showdoc.php?idx=315&idxseccion=10
http://zdnet.com.com/2100-1105_2-999870.html