Серьёзные уязвимости межсайтового скриптинга, которые могли быть использованы для похищения учётных записей, недавно были обнаружены на веб-сайте ICQ и в самом приложении для обмена сообщениями. Уязвимости были обнаружены армянским исследователем в области информационной безопасности Левентом Каяном, который обнаружил аналогичную уязвимость в Skype.

Межсайтовый скриптинг является одним из наиболее распространённых типов уязвимостей, обнаруживаемых в интернете. Обычно такими уязвимостями обладают веб-сайты, но так как многие приложения для обмена сообщениями используют вёрстку HTML, они также могут быть подвержены уязвимостям такого типа.

По сообщению исследователя, ICQ.com страдал от активной уязвимости межсайтового скриптинга из-за отсутствия валидации ввода и обработки вывода поля каналов (feeds). Активными подобные уязвимости называются из-за того, что они позволяют поместить вредоносный скрипт прямо на страницу, которая будет храниться на сервере. При посещении пользователем этой страницы исполняется вредоносный код, который может украсть сессионные куки и получить доступ к локальным файлам. В конечном итоге это могло позволить похитить учётную запись ICQ.

Как пишет исследователь, атакующий мог легко перехватить ID сессии удалённых пользователей и использовать уязвимость для атаки на приложения и операционную систему жертвы.

Команда разработчиков ICQ оперативно отреагировала на сообщение об уязвимости и устранила проблему уже на следующий день.