Kritische Lücke in IM Pidgin
Ein Angreifer kann die Kontrolle über den Rechner übernehmen. Eine Interaktion des Opfers ist nicht erforderlich. Ein Update schließt die Lücke.
- Daniel Bachfeld
Durch eine kritische Lücke im Instant Messenger Pidgin kann ein Angreifer Schädlinge in einen Rechner schleusen und starten. Ursache des Problems ist ein Fehler in der von Pidgin benutzen Bibliothek libpurple, durch den sich mit präparierten MSN-SLP-Paketen Code in den Speicher des Systems schreiben und ausführen lassen. Eine Interaktion des Opfers ist nicht erforderlich. Zudem muss der Angreifer nicht in der Buddy-Liste stehen, um einen erfolgreichen Angriff durchführen zu können.
Während die Pidgin-Anwender in ihrem Bericht zu der Lücke angeben, die Lücke in Pidgin 2.5.9 beziehungsweise libpurple 2.5.9 beseitigt zu haben, schreibt der Entdecker der Lücke CoreSecurity, dass erst die Version 2.6.0 nicht mehr verwundbar ist. zur Verwirrung trägt bei, dass die Entwickler gestern nacheinander die Versionen 2.5.9, 2.6.0 und 2.6.1 veröffentlicht haben. Wer ganz sichergehen will, installiert einfach die letzte Version. Für Windows steht allerdings noch 2.5.8 zum Download bereit. Neben Pidgin sind auch anderen Anwendungen wie Adium von der Lücke betroffen.
Siehe dazu auch:
- Libpurple msn_slplink_process_msg() Arbitrary Write Vulnerability, Bericht von CoreSecurity
- MSN overflow parsing SLP messages, Bericht von Pidgin
(dab)
