[HaBo]

brain21 · 04.11.07, 21:52

Ich wünsche allen Lesern einen wundervollen Abend,
mal angenommen ich habe einen Exploit gefunden, mit denen ich andere ICQ 6 User mit neusten Updates auf Knopfdruck abschiessen kann und möglicherweise auf den anderen Maschinen auch Code ausführen könnte, wo soll ich damit hin? An wem soll ich mich wenden? Was wäre die intelligenteste Vorgehensweise? Ich war noch nie zuvor in so einer Situation und bin gerade sehr verwirrt und aufgeregt... Ich meine das ist eine schwerwiegende Information und ich habe Angst, dass es in falsche Hände gerät und verfolge eigentlich die Absicht, dass diese Lücke schnellstmöglichst geschlossen wird.
Habe bereits versucht Kontakt mit ICQ Ltd. aufzunehmen und eine Mail an heise geschickt. Aber bisher habe ich von beiden Seiten kein Feedback bekommen (ist ja auch Wochenende...).

Hoffe hier findet sich jemand, der soetwas schonmal gemacht hat... :^)

EDIT: gelöst: http://www.heise.de/security/Kritisc...meldung/104268

Danke an alle!

**Elderan** · 04.11.07, 22:06

Hallo,
zuerst würde ich es an ICQ Ltd. senden und etwas warten, wenn nichts passiert diese Lücke in der bugtraq veröffentlichen.
Wobei ich mir nicht vorstellen könnte, dass Heise Security an soetwas nicht intressiert wäre

Anzeige

- Anzeige -

**xeno** · 04.11.07, 22:08

schick es doch einfach an eine bekannte exploit seite. wenn sich das verbreitet, dann wird auch schnell was dagegen gemacht. quelltext mitliefern wäre hilfreich.

Oi!Alex · 04.11.07, 22:17

wabisabi

04.11.07, 23:10

Vergiss ICQ, sende ihn mir

Heinzelotto · 04.11.07, 23:25

Zitat:

Original von Gulliver
Vergiss ICQ, sende ihn mir

verdammt, warum muss ich immer zu spät kommen, das wollte ich auch gerade sagen

+++ATH0 · 04.11.07, 23:26

Ein Pointer zu der interessanten Stelle würde mir reichen.

Du kannst ja den ICQ Entwicklern eine Frist setzen, danach schreibste ein kleines Advisory für das HaBo.

SUID:root · 05.11.07, 00:47

Wieviel soll er kosten? *wink*

Ansonsten würd ich auch ICQ kontaktieren und danach, mit einer kurzen Frist von ein paar Tagen, veröffentlichen.

root

2Bios · 05.11.07, 12:24

Ich würde ihn sofort auf irgendeiner bekannten Seite releasen und den Exploit auf der Stelle ausnutzen, um den Mirabilis ICQ Nutzern mal ordentlich aufs Maul zu hauen. Irgendwie muss man diese Leute ja von der Hässlichkeit (in allen Richtungen) dieses Programm hinweisen und dies wäre ein weiterer Weg. :]

brain21 · 05.11.07, 22:55

Ein herzliches Dankeschön für eure Antworten.

Ich wurde von einer mehr oder weniger netten Person angeschrieben, die gewisse administrative Rechte bei ICQ hat. Man hat mich drum gebeten jegdliche Informationen von meinem Blog über diese Lücke zu entfernen, da es gegen die Nutzerbestimmungen von ICQ verstoße (ja, es stand in meinem Blog drinne; nein, ich veröffentliche hier nicht die Adresse ;^] ). Man hat mich darüber informiert, dass das Problem bereits bekannt wäre und es nicht nur die einzigste Lücke in dieser Form wäre. Wie allerdings in den Nutzungsbestimmungen geschrieben ist, stellt die Nuzung der ICQ Software und den damit vebundenen Diensten eine Sicherheitslüecke dar, die man akzeptiert, wenn man die ICQ Software oder den ICQ Dienst nutzt. Und die Nutzung der ICQ-Dienste durch nicht von ICQ und AOL bereitgestellten Software ist untersagt.

Also, irgendwie komme ich mir hintergangen vor. Egal, ich denke das Thema ist hiermit gegessen; ich danke euch nochmal für eure Hilfestellung.

**CDW** · 05.11.07, 23:03

Also mal wieder "wenn keiner über das Problem redet, existiert es auch nicht" Stragegie

Ich möchte gar nicht daran denken, was so ein ZDE in falschen Händen (Botnetz/Spamnetz Beitreiber) anrichten wird.

**Elderan** · 05.11.07, 23:09

Hallo,
würde mir ein Mitarbeiter so dumm kommen und mich auf die Nutzungsbedingungen hinweisen und dass das ja alles gar nicht erlaubt sei was ich da machen würde und ich es auf alle Fälle geheimhalten müsse, dann würde ich es erst recht anonym irgendwo publizieren (Heise Security ist eigentlich ne gute Anlaufstelle).

Die sollen dankbar sein das ich die darauf hingewiesen habe und es nicht gleich in der nächsten Mailingliste publiziert habe und nicht irgendwie rummeckern.

Naja, ich weiß ja nicht wie deren Email geschrieben ist. Klar kann man es solange unter dem Teppich halten bis die Lücke geschlossen ist, dies sollte man dann aber in einer freundlichen Art und Weise sagen.
So wie du es hier geschildert hast, hat sich das von denen nicht sehr freundlich angehört.

Und zu sagen, dass das alles mit den Nutzungsbedingungen abgedeckt sei... tztz.

Naja, wie gesagt, kenn nicht den Wortlaut der Email, aber bei mir herrscht das ganz simple Prinzip:
Kommen die mir dumm, komme ich denen dumm.

Man kan ja freundlich Antworten wenn man so nen Hinweis bekommt

Xalon · 05.11.07, 23:12

Also wenn die einen so dumm anmachen, auf nach bugtraq...

Und da du schreibst er hat dir gesagt man darf nicht mit anderen Clients ins ICQ-Netz denk ich mal du hast die Lücke zufällig gefunden, eben mit deinem Client.

Was spräche also dagegen dich in ICQ zu adden, zu schauen welchen Client du nutzt
(oder einfach fragen aber das ist nicht 1337 genug

) und dann einfach mal alles ausprobieren was der
Client kann bis eben der Offizielle abkackt...
Hab ich Recht? War jetzt mal so ins blaue geraten...

Und wenn das mal public ist is es bald geschlossen

mfg

Edit: Hmm oder du schreibst ihnen ne Mail, sagst ihnen die können dich mal und da du eh nen anderen Client
nutzt hast du nie ne EULA oä zu Gesicht bekommen, geschweige denn bestätigt und publizierst es dann einfach...

**xeno** · 05.11.07, 23:24

icq? was ist das?
ich hab jabber, und ich weiß warum

Bytestream · 05.11.07, 23:32

Zitat:

Original von Xalon

Edit: Hmm oder du schreibst ihnen ne Mail, sagst ihnen die können dich mal und da du eh nen anderen Client
nutzt hast du nie ne EULA oä zu Gesicht bekommen, geschweige denn bestätigt und publizierst es dann einfach...

Kriegt man die nicht die EULA zu lesen wenn man sich registriert und seine hübsche Nummer bekommt?

Anzeige

- Anzeige -

04.11.07, 21:52	#1 (permalink)
brain21 Registriert seit: 20.06.05 Likes: 0	(gelöst) Wohin mit unbekanntem Zero-Day-Exploit? Anzeige Ich wünsche allen Lesern einen wundervollen Abend, mal angenommen ich habe einen Exploit gefunden, mit denen ich andere ICQ 6 User mit neusten Updates auf Knopfdruck abschiessen kann und möglicherweise auf den anderen Maschinen auch Code ausführen könnte, wo soll ich damit hin? An wem soll ich mich wenden? Was wäre die intelligenteste Vorgehensweise? Ich war noch nie zuvor in so einer Situation und bin gerade sehr verwirrt und aufgeregt... Ich meine das ist eine schwerwiegende Information und ich habe Angst, dass es in falsche Hände gerät und verfolge eigentlich die Absicht, dass diese Lücke schnellstmöglichst geschlossen wird. Habe bereits versucht Kontakt mit ICQ Ltd. aufzunehmen und eine Mail an heise geschickt. Aber bisher habe ich von beiden Seiten kein Feedback bekommen (ist ja auch Wochenende...). Hoffe hier findet sich jemand, der soetwas schonmal gemacht hat... :^) EDIT: gelöst: http://www.heise.de/security/Kritisc...meldung/104268 Danke an alle!

04.11.07, 22:08	#3 (permalink)
xeno Moderator Registriert seit: 09.09.04 Likes: 76	schick es doch einfach an eine bekannte exploit seite. wenn sich das verbreitet, dann wird auch schnell was dagegen gemacht. quelltext mitliefern wäre hilfreich. __________________ http://www.thehappy.de/~xeno/ http://www.blogthon.de/

05.11.07, 23:03	#11 (permalink)
CDW Moderator Registriert seit: 20.07.05 Likes: 202	Also mal wieder "wenn keiner über das Problem redet, existiert es auch nicht" Stragegie Ich möchte gar nicht daran denken, was so ein ZDE in falschen Händen (Botnetz/Spamnetz Beitreiber) anrichten wird. __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

05.11.07, 23:24	#14 (permalink)
xeno Moderator Registriert seit: 09.09.04 Likes: 76	icq? was ist das? ich hab jabber, und ich weiß warum __________________ http://www.thehappy.de/~xeno/ http://www.blogthon.de/

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

04.11.07, 22:06	#2 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, zuerst würde ich es an ICQ Ltd. senden und etwas warten, wenn nichts passiert diese Lücke in der bugtraq veröffentlichen. Wobei ich mir nicht vorstellen könnte, dass Heise Security an soetwas nicht intressiert wäre

04.11.07, 22:17	#4 (permalink)
Oi!Alex Registriert seit: 17.01.06 Likes: 7	wabisabi

04.11.07, 23:10	#5 (permalink)
Gulliver Guest Likes:	Vergiss ICQ, sende ihn mir

04.11.07, 23:26	#7 (permalink)
+++ATH0 Member of Honour Registriert seit: 02.04.05 Likes: 76	Ein Pointer zu der interessanten Stelle würde mir reichen. Du kannst ja den ICQ Entwicklern eine Frist setzen, danach schreibste ein kleines Advisory für das HaBo.

05.11.07, 00:47	#8 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	Wieviel soll er kosten? wink Ansonsten würd ich auch ICQ kontaktieren und danach, mit einer kurzen Frist von ein paar Tagen, veröffentlichen. root

05.11.07, 12:24	#9 (permalink)
2Bios Senior Member Registriert seit: 28.08.05 Likes: 0	Ich würde ihn sofort auf irgendeiner bekannten Seite releasen und den Exploit auf der Stelle ausnutzen, um den Mirabilis ICQ Nutzern mal ordentlich aufs Maul zu hauen. Irgendwie muss man diese Leute ja von der Hässlichkeit (in allen Richtungen) dieses Programm hinweisen und dies wäre ein weiterer Weg. :]

05.11.07, 22:55	#10 (permalink)
brain21 Themenstarter Registriert seit: 20.06.05 Likes: 0	Ein herzliches Dankeschön für eure Antworten. Ich wurde von einer mehr oder weniger netten Person angeschrieben, die gewisse administrative Rechte bei ICQ hat. Man hat mich drum gebeten jegdliche Informationen von meinem Blog über diese Lücke zu entfernen, da es gegen die Nutzerbestimmungen von ICQ verstoße (ja, es stand in meinem Blog drinne; nein, ich veröffentliche hier nicht die Adresse ;^] ). Man hat mich darüber informiert, dass das Problem bereits bekannt wäre und es nicht nur die einzigste Lücke in dieser Form wäre. Wie allerdings in den Nutzungsbestimmungen geschrieben ist, stellt die Nuzung der ICQ Software und den damit vebundenen Diensten eine Sicherheitslüecke dar, die man akzeptiert, wenn man die ICQ Software oder den ICQ Dienst nutzt. Und die Nutzung der ICQ-Dienste durch nicht von ICQ und AOL bereitgestellten Software ist untersagt. Also, irgendwie komme ich mir hintergangen vor. Egal, ich denke das Thema ist hiermit gegessen; ich danke euch nochmal für eure Hilfestellung.

05.11.07, 23:09	#12 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, würde mir ein Mitarbeiter so dumm kommen und mich auf die Nutzungsbedingungen hinweisen und dass das ja alles gar nicht erlaubt sei was ich da machen würde und ich es auf alle Fälle geheimhalten müsse, dann würde ich es erst recht anonym irgendwo publizieren (Heise Security ist eigentlich ne gute Anlaufstelle). Die sollen dankbar sein das ich die darauf hingewiesen habe und es nicht gleich in der nächsten Mailingliste publiziert habe und nicht irgendwie rummeckern. Naja, ich weiß ja nicht wie deren Email geschrieben ist. Klar kann man es solange unter dem Teppich halten bis die Lücke geschlossen ist, dies sollte man dann aber in einer freundlichen Art und Weise sagen. So wie du es hier geschildert hast, hat sich das von denen nicht sehr freundlich angehört. Und zu sagen, dass das alles mit den Nutzungsbedingungen abgedeckt sei... tztz. Naja, wie gesagt, kenn nicht den Wortlaut der Email, aber bei mir herrscht das ganz simple Prinzip: Kommen die mir dumm, komme ich denen dumm. Man kan ja freundlich Antworten wenn man so nen Hinweis bekommt

05.11.07, 23:12	#13 (permalink)
Xalon Registriert seit: 23.05.05 Likes: 0	Also wenn die einen so dumm anmachen, auf nach bugtraq... Und da du schreibst er hat dir gesagt man darf nicht mit anderen Clients ins ICQ-Netz denk ich mal du hast die Lücke zufällig gefunden, eben mit deinem Client. Was spräche also dagegen dich in ICQ zu adden, zu schauen welchen Client du nutzt (oder einfach fragen aber das ist nicht 1337 genug ) und dann einfach mal alles ausprobieren was der Client kann bis eben der Offizielle abkackt... Hab ich Recht? War jetzt mal so ins blaue geraten... Und wenn das mal public ist is es bald geschlossen mfg Edit: Hmm oder du schreibst ihnen ne Mail, sagst ihnen die können dich mal und da du eh nen anderen Client nutzt hast du nie ne EULA oä zu Gesicht bekommen, geschweige denn bestätigt und publizierst es dann einfach...

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Java ActionListener wohin?	MrSpider	Code Kitchen	5	06.05.08 19:17
Wohin mit der Schriftart?	User!?!	Die Problemzone	3	25.11.05 23:16
PC-Freezes aus unbekanntem Grund	BaNDiToS	Hardware Probleme	8	25.05.05 02:31
wohin mit dem grub?	magenbrot	Linux/UNIX	0	11.11.04 23:28
wohin mit nervigen kleinen schwestern?	-= pillepalle =-	Fun Section	14	05.10.04 21:07

[HaBo]

(gelöst) Wohin mit unbekanntem Zero-Day-Exploit?