Gaim verhaspelt sich mit Away-Messages [Update]

Der Multi-Messenger Gaim des Gnome-Projektes, der auch auf andere Plattformen wie Windows portiert wird, enthält mehrere Schwachstellen, die das Einschleusen und Ausführen von beliebigem Code sowie eine Denial-of-Service-Attacke ermöglichen. In Gaim kann es zu einem Pufferüberlauf auf dem Heap kommen, wenn Abwesenheitsmeldungen durch das AIM- und ICQ-Protokoll verarbeitet werden, wodurch möglicherweise fremder Code eingeschleust und ausgeführt werden kann. Eine zweite Lücke betrifft das Parsen von Dateinamen in Dateitransfers, hier kann der Instant-Messaging-Client durch präparierte Zeichenketten aus anderen Zeichensätzen als UTF8 abstürzen. Weiterhin enthält Gaim eine PowerPC-spezifische Lücke, sie betrifft das Gadu-Protokoll. Auch hier kann der universelle Messenger mit präparierten Nachrichten zum Absturz gebracht werden.

Betroffen sind Gaim-Versionen bis einschließlich der aktuellen Fassung 1.4.0. Ein offizieller Patch lässt noch auf sich warten, einige Linux-Distributoren arbeiten aber mit einem rückportierten Patch, wahrscheinlich aus dem Gaim-CVS auf Sourceforge. Anwender, die Gaim einsetzen, sollten nach aktualisierten Paketen von ihrem Distributor Ausschau halten und bei Verfügbarkeit umgehend das Update einspielen.

Update:

Auf der Sourceforge-Seite des Gaim-Projektes steht inzwischen Version 1.5.0 der Software zur Verfügung, die mehrere Sicherheitslücken beseitigt und auch weitere Bugfixes enthält. Auf der Download-Seite stellen die Entwickler die neuen Pakete als Quellcode und in diversen Binary-Formen zur Verfügung.

Siehe dazu auch: (dmk)

• Security Advisory von RedHat