Menü
Alert!
Security

Weitere Lücke in IM Pidgin

vorlesen Drucken Kommentare lesen 61 Beiträge

Erneut ist eine Lücke im quelloffenen Instant-Messenger Pidgin bekannt geworden, die Angreifer per Netzwerk nutzen können, um das Chat-Programm zum Absturz zu bringen oder Schadcode einzuschleusen und mit Anwenderrechten auszuführen. Abermals handelt es sich um einen Integer Overflow in der Funktion msn_slplink_process_msgy, in der bereits vor rund zwei Wochen ein kritischer Fehler entdeckt wurde.

Diesmal lässt sich der Fehler jedoch mit präparierten Nachrichten provozieren, wohingegen bei der alten Lücke ein Opfer den Empfang einer Datei mit einem manipulierten Namen erlauben musste. Standardmäßig können jedoch nur in der Buddy-Liste eingetragene Anwender dem Opfer eine präparierte Nachricht schicken. Der Fehler ist in der Pidgin-Version 2.4.3 beseitigt. Auch der ältere Fehler ist dort nicht mehr zu finden.

Siehe dazu auch:

(dab)