关键信息摘要 漏洞概述 漏洞编号: CORE-2003-0303 影响产品: Mirabilis ICQ Pro 2003a 客户端及其之前的版本 发布时间: 2003-05-05 最后更新时间: 2003-05-02 漏洞详情 描述: Mirabilis ICQ 客户端存在多个安全漏洞,可能引发远程和本地的利用: 远程可利用: 是 本地可利用: 是 漏洞列表 1. POP3 客户端 UIDL 字段格式化字符串攻击 - CVE: CAN-2003-0235 - 影响: 可能导致远程执行任意命令 - 描述: POP3 客户端在处理 UIDL 命令响应时存在格式化字符串漏洞 2. POP3 客户端 "Subject" 字段签名溢出 - CVE: CAN-2003-0236 - 影响: 可能导致远程执行任意命令 - 描述: POP3 客户端在处理电子邮件头 "Subject" 字段时存在 16 位符号溢出 3. POP3 客户端 "Date" 字段签名溢出 - CVE: CAN-2003-0237 - 影响: 可能导致远程执行任意命令 - 描述: POP3 客户端在处理电子邮件头 "Date" 字段时存在 16 位符号溢出 4. ICQ 特性按需服务欺骗攻击 - CVE: CAN-2003-0238 - 影响: 可能导致恶意软件安装和任意命令执行 - 描述: 由于硬编码信息和缺乏认证,客户端服务更新机制存在安全隐患 5. 消息广告拒绝服务攻击 - CVE: CAN-2003-0239 - 影响: 消息窗口冻结和 CPU 占用率升至 100% - 描述: 通过发送畸形的 HTML 广告,导致客户端崩溃 6. ICQ GIF 解析库输入验证错误 - CVE: CAN-2003-0240 - 影响: 拒绝服务 - 描述: 处理 GIF89a 图像头时的逻辑错误导致解析失败 披露和致谢 发现者: Lucas Lavarello、Daniel Benmergui、Norberto Kueffner、Fernando Russ 披露项目: Bugweek 2003 (2003 年 3 月 3 日 - 7 日) 供应商联系: Mirabilis 已被多次通知但未回复 其他 Vulnerability URL: http://www.coresecurity.com/common/showdoc.php?idx=315&idxseccion=10 发布模式: 用户发布