Sicherheits-Update für IM Pidgin
Durch einen präparierten Emoticon-Request war es möglich, beliebige Dateien vom PC eines Opfers herunterzuladen.
- Daniel Bachfeld
Die Entwickler des Instant Messengers Pidgin haben Version 2.6.5 vorgelegt, die eine Directory-Traversing-Schwachstelle im Zusammenhang mit der Implementierung des MSN-Protokolls schließt. Die Lücke war auf dem 26. Chaos Computer Congress (26C3) von Fabian Yamaguchi vorgeführt worden: Durch einen präparierten Emoticon-Request war es möglich, beliebige Dateien vom PC eines Opfers herunterzuladen.
Betroffen sind alle Versionen vor 2.6.5. Die neue Version steht für Windows, Mac OS X und Linux zum Download bereit. Die Entwickler empfehlen dringend, auf die neueste Version zu wechseln.
Siehe dazu auch:
- MSN file download vulnerability, Bericht der Entwickler
- 26C3: Schwächen im Netzwerk-Design