(gelöst) Wohin mit unbekanntem Zero-Day-Exploit?

B

brain21

0
Ich wünsche allen Lesern einen wundervollen Abend,
mal angenommen ich habe einen Exploit gefunden, mit denen ich andere ICQ 6 User mit neusten Updates auf Knopfdruck abschiessen kann und möglicherweise auf den anderen Maschinen auch Code ausführen könnte, wo soll ich damit hin? An wem soll ich mich wenden? Was wäre die intelligenteste Vorgehensweise? Ich war noch nie zuvor in so einer Situation und bin gerade sehr verwirrt und aufgeregt... Ich meine das ist eine schwerwiegende Information und ich habe Angst, dass es in falsche Hände gerät und verfolge eigentlich die Absicht, dass diese Lücke schnellstmöglichst geschlossen wird.
Habe bereits versucht Kontakt mit ICQ Ltd. aufzunehmen und eine Mail an heise geschickt. Aber bisher habe ich von beiden Seiten kein Feedback bekommen (ist ja auch Wochenende...).

Hoffe hier findet sich jemand, der soetwas schonmal gemacht hat... :^)

EDIT: gelöst: http://www.heise.de/security/Kritische-Luecke-in-Instant-Messenger-ICQ--/news/meldung/104268

Danke an alle!
 
Hallo,
zuerst würde ich es an ICQ Ltd. senden und etwas warten, wenn nichts passiert diese Lücke in der bugtraq veröffentlichen.
Wobei ich mir nicht vorstellen könnte, dass Heise Security an soetwas nicht intressiert wäre
 
schick es doch einfach an eine bekannte exploit seite. wenn sich das verbreitet, dann wird auch schnell was dagegen gemacht. quelltext mitliefern wäre hilfreich.
 
Ein Pointer zu der interessanten Stelle würde mir reichen. :D

Du kannst ja den ICQ Entwicklern eine Frist setzen, danach schreibste ein kleines Advisory für das HaBo. ;)
 
Wieviel soll er kosten? *wink* :D

Ansonsten würd ich auch ICQ kontaktieren und danach, mit einer kurzen Frist von ein paar Tagen, veröffentlichen.

root
 
Ich würde ihn sofort auf irgendeiner bekannten Seite releasen und den Exploit auf der Stelle ausnutzen, um den Mirabilis ICQ Nutzern mal ordentlich aufs Maul zu hauen. Irgendwie muss man diese Leute ja von der Hässlichkeit (in allen Richtungen) dieses Programm hinweisen und dies wäre ein weiterer Weg. :]
 
Ein herzliches Dankeschön für eure Antworten.

Ich wurde von einer mehr oder weniger netten Person angeschrieben, die gewisse administrative Rechte bei ICQ hat. Man hat mich drum gebeten jegdliche Informationen von meinem Blog über diese Lücke zu entfernen, da es gegen die Nutzerbestimmungen von ICQ verstoße (ja, es stand in meinem Blog drinne; nein, ich veröffentliche hier nicht die Adresse ;^] ). Man hat mich darüber informiert, dass das Problem bereits bekannt wäre und es nicht nur die einzigste Lücke in dieser Form wäre. Wie allerdings in den Nutzungsbestimmungen geschrieben ist, stellt die Nuzung der ICQ Software und den damit vebundenen Diensten eine Sicherheitslüecke dar, die man akzeptiert, wenn man die ICQ Software oder den ICQ Dienst nutzt. Und die Nutzung der ICQ-Dienste durch nicht von ICQ und AOL bereitgestellten Software ist untersagt.

Also, irgendwie komme ich mir hintergangen vor. Egal, ich denke das Thema ist hiermit gegessen; ich danke euch nochmal für eure Hilfestellung.
 
Also mal wieder "wenn keiner über das Problem redet, existiert es auch nicht" Stragegie :rolleyes:
Ich möchte gar nicht daran denken, was so ein ZDE in falschen Händen (Botnetz/Spamnetz Beitreiber) anrichten wird.
 
Hallo,
würde mir ein Mitarbeiter so dumm kommen und mich auf die Nutzungsbedingungen hinweisen und dass das ja alles gar nicht erlaubt sei was ich da machen würde und ich es auf alle Fälle geheimhalten müsse, dann würde ich es erst recht anonym irgendwo publizieren (Heise Security ist eigentlich ne gute Anlaufstelle).

Die sollen dankbar sein das ich die darauf hingewiesen habe und es nicht gleich in der nächsten Mailingliste publiziert habe und nicht irgendwie rummeckern.

Naja, ich weiß ja nicht wie deren Email geschrieben ist. Klar kann man es solange unter dem Teppich halten bis die Lücke geschlossen ist, dies sollte man dann aber in einer freundlichen Art und Weise sagen.
So wie du es hier geschildert hast, hat sich das von denen nicht sehr freundlich angehört.

Und zu sagen, dass das alles mit den Nutzungsbedingungen abgedeckt sei... tztz.

Naja, wie gesagt, kenn nicht den Wortlaut der Email, aber bei mir herrscht das ganz simple Prinzip:
Kommen die mir dumm, komme ich denen dumm.

Man kan ja freundlich Antworten wenn man so nen Hinweis bekommt
 
Also wenn die einen so dumm anmachen, auf nach bugtraq...

Und da du schreibst er hat dir gesagt man darf nicht mit anderen Clients ins ICQ-Netz denk ich mal du hast die Lücke zufällig gefunden, eben mit deinem Client.

Was spräche also dagegen dich in ICQ zu adden, zu schauen welchen Client du nutzt
(oder einfach fragen aber das ist nicht 1337 genug :D ) und dann einfach mal alles ausprobieren was der
Client kann bis eben der Offizielle abkackt...
Hab ich Recht? War jetzt mal so ins blaue geraten...

Und wenn das mal public ist is es bald geschlossen

mfg

Edit: Hmm oder du schreibst ihnen ne Mail, sagst ihnen die können dich mal und da du eh nen anderen Client
nutzt hast du nie ne EULA oä zu Gesicht bekommen, geschweige denn bestätigt und publizierst es dann einfach...
 
Original von Xalon

Edit: Hmm oder du schreibst ihnen ne Mail, sagst ihnen die können dich mal und da du eh nen anderen Client
nutzt hast du nie ne EULA oä zu Gesicht bekommen, geschweige denn bestätigt und publizierst es dann einfach...
Zum Vergrößern anklicken....
Kriegt man die nicht die EULA zu lesen wenn man sich registriert und seine hübsche Nummer bekommt?
 
Nun seid doch nicht so agressiv. Nur weil ein Mitarbeiter einen schlechten Tag hat, werde ich nicht eine riesen Aufstand darum machen. Aber ich kann mir schon vorstellen, dass jemand anderes die Lücke findet, daraufhin diesen Thread hier ließt und auf Grund dieser "rechtlichen" Unter-Druck-Setzung anonym ein Video im Internet veröffentlicht, aus dem JEDES KIND erlernen kann, wie man diese Lücke erfolgreicht ausnutzt. Dieses Video wird dann bestimmt in jedem erdenklichem Forum gepostet (insbesondere l33t-h4x0r-bezogene Foren) und die Leute werden sich tagelang gegenseitig abknallen.

:-)

Aber ICH werde natürlich keinerlei Informationen über die Lücke preisgeben.

Xalon, ich nutze MirandaIM 0.7.1 (http://www.miranda-im.org/download/) mit dem ICQ Plus Mod 0.3.8.105 build 94 RC2 (http://forums.miranda-im.org/showthread.php?t=14285) und bin erstaunt über die bei dem Protokoll implementierte tZer-Funktion. Es ist total toll, dass man dort den tZer-Namen selber wählen kann, der dann auch tatsächlich beim ICQ 6 User so ankommt, wie man ihn eintippt. Aber ich finde es nur schade, dass bei MirandaIM das Chatfenster nicht durch eine HTML-Seite realisiert wird (oder wird es doch? keine Ahnung :^P), was aber wiederum immerhin besser ist, als dass dann plötzlich der Internet Explorer zur HTML-Darstellung verwendet wird... Ich hasse nämlich den Internet Explorer. Und ja, ich bin durch einen Zufall darauf gestossen.

Naja, ich schweife vom Thema ab. (Edit: @Hochprivilegierte: Falls ich eurer Meinung nach für dieses Board zu sehr vom Thema abgekommen bin, bin ich euch nicht böse wenn ihr es herausnimmt)

Original von Bytestream
Kriegt man die nicht die EULA zu lesen wenn man sich registriert und seine hübsche Nummer bekommt?
Zum Vergrößern anklicken....

Ich denke man muss sich selbstständig über die Nutzerbestimmungen informieren, sobald man einen Dienst nutzt.
 
Original von xeno
icq? was ist das?
ich hab jabber, und ich weiß warum ;)
Zum Vergrößern anklicken....

Ich hab auch jede Menge Nicht-Freaks als Freunde, deshalb benutz ich das Oscar-Protokoll, wenn auch mit Pidgin (ehemals Gaim) :D
Pidgin hängt sich übrigens auch auf wenn man etwas längere PGP-verschlüsselte Emails per copy & paste rüber schickt, hab das aber nicht weiter erforscht.

Gruß odigo
 
ich kompilier mir auch ständig die neueste pidgin version zusammen, nutze aber tatsächlich nurnoch jabber (obwohl ich auch nen icq/msn account besitze). hab den icq/msn leuten gesagt, daß mir ihre protokolle langsam zu dumm werden (dieses wackel ding da bei msn ist ja mal das schlimmste was ich je gesehen hab) und ich sie nichtmehr nutze. email adresse hinterlassen und gut war.

und ja, pidgin macht ärger wo immer es kann. manchmal lässt sich zb. die verbindung zum server nicht mehr herstellen, was nur duch einen temporären wechsel auf ssl/nicht-ssl zu beheben ist. trotzdem mag ich die software, und integriere mich daher so gut ich kann in den entwicklungsprozess (bugtraq, wenn möglich support im irc).

meiner meinung nach ist das alles ne einstellungssache. würde ich ein system haben wollen das einfach nur funktioniert, dann kann ich auch auf console umsteigen und sachen verwenden, die seit X Jahren stable sind. aber hey, wo bleibt denn da der spass? open source ist eine einstellung, kein zwang.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben