Mehrere Sicherheitslücken in Pidgin 2.5.6 geschlossen
Unter den Lücken finden sich zwei Pufferüberläufe, sich aus der Ferne zum Einschleusen und Starten von Code ausnutzen lassen.
- Daniel Bachfeld
In Version 2.5.6 des quelloffenen Instant-Messaging-Clients Pidgin haben die Entwickler mehrere Sicherheitslücken geschlossen. Dazu gehören zwei Buffer Overflows in der Verarbeitung von MSN-SLP-Nachrichten und im XMPP-SOCKS5-Server beim Aufbau einer ausgehenden Verbindung für Dateitransfers.
Der MSN-SLP-Buffer-Overflow sollte eigentlich bereits seit Mitte des vergangenen Jahres beseitigt sein. Nach Angaben der Entwickler hat der damalige Patch die Lücke aber wohl doch nicht so geschlossen, wie man das wollte. Dies holt man nun nach. Beide Pufferüberläufe lassen sich aus der Ferne zum Einschleusen von Code ausnutzen.
Darüber hinaus lassen sich die XMPP- und Sametime-Protokol-Plugins mit präparierten Paketen zum Absturz bringen. Zudem stürzt Pidgin beim Empfang bestimmter QQ-Pakete ab. In der neuen Version haben die Entwickler viele weitere, nicht sicherheitsrelevate Fehler beseitigt und einige Verbesserungen vorgenommen.
Siehe dazu auch:
- Pidgin Security Advisories, Übersicht der Pidgin-Sicherheitslücken
(dab)