Trillian führt Schadcode aus Nachrichten aus
Der Instant-Messenger-Client Trillian enthält einen Fehler, durch den Angreifer mit präparierten Nachrichten Schädlinge einschleusen und mit den Rechten des Benutzers ausführen können.
Im populären Instant-Messenger-Client Trillian hat der Sicherheitsdienstleister iDefense eine Sicherheitslücke entdeckt. Bei der Verarbeitung von Nachrichten, die im Unicode-Zeichenformat UTF8 kodiert sind, kann es zu einem Pufferüberlauf und in der Folge zur Ausführung fremden Programmcodes kommen.
Der Fehler kann dann auftreten, wenn Trillian bei der Anzeige der Nachricht, etwa einer Autorisierungsanfrage, den Text umbricht. Dabei nutzt die zuständige Routine fälschlicherweise die Fensterbreite als Wert für die Größe eines Puffers. Angreifer können dadurch mit einer präparierten Textnachricht beliebigen Programmcode einschleusen, der mit den Rechten des Benutzers zur Ausführung kommt.
Der Hersteller von Trillian, Cerulian Studios, hat inzwischen die Programmversion 3.1.6.0 herausgegeben, die die Schwachstelle behebt. Nutzer der Software sollten das Update umgehend einspielen.
Siehe dazu auch:
- Cerulean Studios Trillian UTF-8 Word Wrap Heap Overflow Vulnerability, Sicherheitsmeldung von iDefense
- Download der aktuellen Trillian-Version
(dmk)
