Összefoglaló
A Pidgin sérülékenységei váltak ismertté, amelyeket kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of service) okozhatnak és feltörhetik a felhasználó sérülékeny rendszerét.
Leírás
- Az IRC protokol plugin-ben, bizonyos karaktereket tartalmazó “nickname” esetén, a WHO válasz feldolgozásakor jelentekző hiba kihasználható NULL mutató hivatkozás feloldási hiba okozására.
- Az MSN protokol plugin-ben, a HTTP 100 válaszok feldolgozásakor jelentkező hiba kihasználható az alkalmazás összeomlasztására.
A gyengeség sikeres kihasználásának feltétele, hogy a HTTP kapcsolódási mód engedélyezett legyen (alapértelmezés szerint le van tiltva) és a kliens egy rosszindulatú szerverhez kapcsolódjon. - Az alkalmazás “file://” URI-ket futtat kattintásra, amit kihasználva rávehető a felhasználó, hogy egy távoli, hálózati megosztáson lévő kártékony kódot futtasson, egy “file://” URI-re klikkelve.
Megjegyzés: a biztonsági probléma csak a Windows-os változatot érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: pidgin.im
Gyártói referencia: pidgin.im
Gyártói referencia: pidgin.im
CVE-2011-2943 - NVD CVE-2011-2943
Egyéb referencia: www.insomniasec.com
SECUNIA 45663
