Liczne błędy w Pidginie
W komunikatorze Pidgin znaleziono kilka krytycznych błędów. Dzięki nim napastnik może manipulować danymi, przeprowadzić atak DoS i przejąć kontrolę nad systemem. Pierwszy z nich znajduje się w protokole MXit, występuje podczas zapisywania plików graficznych i pozwala na nadpisanie pewnych plików.
Błąd brzegowy w funkcji "mxit_cb_http_read()", ujawniający się w czasie przetwarzania nagłówków HTTP może zostać wykorzystany za pomocą spreparowanego nagłówka do wywołania błędu przepełnienia bufora. Udany atak pozwala na wykonanie dowolnego kodu.
Dziurę odkryto też w funkcji "mw_prpl_normalize()". Występuje ona podczas przetwarzania ID użytkownika o długości większej niż 4096 bitów i może spowodować awarię oprogramowania. Błędy znaleziono też w funkcjach "upnp_parse_description_cb()", "purple_upnp_discover_send_broadcast()", "looked_up_public_ip_cb()", "looked_up_internal_ip_cb()", "purple_upnp_set_port_mapping()" i "purple_upnp_remove_port_mapping()".
Luki potwierdzono w wersji 2.10.6. Producent Pidgina udostępnił już poprawki.
Źródło:
Arcabit.pl
Data dodania:
17.02.2013 12:59, przez: ches_ter
Czytano:
1657 razy
Ocena:
- Brak ocen
|
|