Schwachstelle in Instant-Messenger Pidgin

30.06.2008 15:59 Uhr Christiane Rütten

Angreifer können eine Schwachstelle in der MSN-Dateiübertragungsfunktion unter Umständen nutzen, um beliebige Befehle ausführen zu lassen.

Der quelloffene Instant-Messenger Pidgin [1] weist eine Sicherheitslücke auf, die Angreifer per Netzwerk unter Umständen nutzen können, um das Chat-Programm zum Absturz zu bringen oder es gar beliebigen Schadcode mit Anwenderrechten ausführen zu lassen. Der Anwender muss dazu laut Juan Pablo Lopez Yacubian, dem Entdecker der Schwachstelle, einen MSN-Dateitransfer mit einem überlangen Dateinamen annehmen.

Pidgin unterstützt eine ganze Reihe von Chat-Protokollen. Yacubian hat nach eigenen Angaben jedoch nicht alle potenziell betroffenen Übertragungsprotokolle untersucht, weshalb sich die Schwachstelle möglicherweise nicht auf MSN beschränkt. Laut dem Sicherheitsdienstleister Secunia sind sowohl das von Yacubian getestete Pidgin 2.4.1 als auch die aktuelle Version 2.4.2 betroffen; anderen Versionen seien aber möglicherweise ebenfalls fehlerhaft. Einen Patch gibt es bislang offenbar noch nicht. Die Sicherheitsexperten empfehlen Pidgin-Anwendern daher, beim Akzeptieren von nicht vertrauenswürdigen MSN-Transfers vorsichtig zu sein.

Siehe dazu auch:

Pidgin 2.4.1 Vulnerability [2], Original-Advisory von Juan Pablo Lopez Yacubian
Pidgin MSN File Transfer Filename Processing Vulnerability [3], Zusatzinformationen von Secunia

(cr [4])

URL dieses Artikels:
https://www.heise.de/-182025

Links in diesem Artikel:
[1] http://www.pidgin.im/
[2] http://archives.neohapsis.com/archives/bugtraq/2008-06/0225.html
[3] http://secunia.com/advisories/30881/
[4] mailto:cr@ct.de