Kritikus sebezhetőség a Pidgin-ben

Bug

Kritikus biztonsági sebezhetőséget tartalmaz a Pidgin névre hallgató, népszerű azonnali üzenetküldő alkalmazás. A bug a Pidgin által használt libpurple library-ban található. A hiba kihasználása esetén a rosszindulatú támadó kódot injektálhat és hajthat végre az áldozat számítógépén. A hiba sikeres kihasználásához nincs szükség interaktivitásra az áldozat részéről és a sikeres támadás véghezvitelének nem feltétele, hogy a támadó szerepeljen az áldozat "buddy" listáján.

A Pidgin fejlesztők által kiadott jelentésből kiderül, hogy a hiba javításra került a Pidgin/libpurple 2.5.9-ben, de a hibát felfedező CoreSecurity szerint az első verzió, amelyet nem érint a sebezhetőség, a 2.6.0-s. A fejlesztők tegnap kiadták gyors egymásutánjában a 2.5.9-es, 2.6.0-s és 2.6.1-es verziójat. A legbiztosabb választás, ha a felhasználók a legfrissebb verziót telepítik.

A hiba a Pidgin mellett az Adium-ot is érinti.

A changelog itt olvasható.

Referenciák:
Critical vulnerability in Pidgin IM
Libpurple msn_slplink_process_msg() Arbitrary Write Vulnerability
MSN overflow parsing SLP messages

( necrolite | 2009. 08. 19., sze – 16:17 )

Már csak a win binary kellene...

( Koppany | 2009. 08. 19., sze – 17:44 )

Nem ertem, ramegyek a linkre, ami a cikkben van, felrakom es 2.5.8-at teszi fel...

( log69 | 2009. 08. 20., cs – 10:04 )

Debian Lenny alatt ma jól lefrissűlt az x86-os rendszerem, viszont amd64 alatt törött lett a pidgin csomag. Másnál is?

Remélem mielőbb javítják és jön jó frissítés.

( kikke | 2009. 08. 23., v – 11:21 )

Tévedtem, úgy látszik. Ma jött frissítés az adium beta-hoz. Akinek eddig nem sikerült a konkurrens trójait felrakni, most megint várhat. :)