Összefoglaló
A Pidgin több sérülékenysége vált ismertté, amelyeket kihasználva a támadók feltörhetik a felhasználó rendszerét.
Leírás
- Egy HTTP válaszok kezelése közben, a “process_chunked_data()” függvényben (libpurple/util.c jelentkező egész túlcsordulási hiba kihasználható halom alapú túlcsordulás előidézésére
- Egy hiba létezik a CVE-2011-3185 nem tökéletes javítása miatt.
Erről további információ az alábbi hivatkozáson található:
SA45663 (#3) - A “gg_http_watch_fd()” függvényben (libpurple/protocols/gg/lib/http.c) jelentkező egész túlcsordulási probléma kihasználható halom alapú túlcsordulás előidézésére egy speciálisan formázott HTTP Content-Length mezővel.
- MXit emoticon-ok elemzése közben, a “asn_getUtf8()” függvényben (libpurple/protocols/mxit/markup.c) jelentkező előjel kiterjesztési hiba kihasználható halom alapú túlcsordulás előidézésére.
- A sipmsg_parse_header()” függvényben (libpurple/protocols/simple/simple.c) jelentkező egész túlcsordulási hiba kihasználható halom alapú túlcsordulás előidézésére egy speciálisan formázott “body length” mezővel.
A sérülékenységeket a 2.10.8 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.pidgin.im
Gyártói referencia: www.pidgin.im
Gyártói referencia: www.pidgin.im
Gyártói referencia: www.pidgin.im
Gyártói referencia: www.pidgin.im
SECUNIA 56693