Thema: Lücken in IM Pidgin (Gaim)

[SiLæncer]

Die Entwickler des multiprotokollfähigen Instant Messengers Gaim weisen auf einen Fehler im HTML-Parser hin, der beim Empfang manipulierter HTML-Nachrichten zum Absturz des Clients führt. Version 1.1.4 behebt diesen Fehler. Bereits mit der eine Woche vorher herausgegebenen Version 1.1.3 hatten die Entwickler eine ähnliche Schwachstelle beseitigt. Ob Angreifer über die Fehler eigenen Code einschleusen können, ist den Advisories nicht zu entnehmen. Die Abstürze beruhen aber immerhin auf ungültigen Speicherzugriffen.

Durch einen weiteren Fehler in der Windows-Version von Gaim 1.1.3 beendet sich die Anwendung beim Dateitransfer. Auslöser sind runde Klammern in Dateinamen, beispielsweise gaim1.1(windows).exe. Wahrscheinlich ist auch Version 1.1.4 betroffen. Ein Patch gibt es derzeit nicht. In Version 1.1.3 wurde zudem ein Problem bei der Verarbeitung des Oscar-Protokolls beseitigt, wie es für ICQ und AIM verwendet wird. Bestimmte Pakete führen zu einer Endlosschleife in Gaim, in dessen Folge der Client nicht mehr reagiert.

Die Linux-Distributoren Fedora und Ubuntu haben aktualisierte Pakete für Gaim herausgegeben. Die anderen Anbieter dürften sicherlich demnächst folgen.

Quelle und Links : http://www.heise.de/newsticker/meldung/56861

[SiLæncer]

Anwender des Instant-Messaging-Programms Gaim sollten auf die aktuelle Version 1.3.0 wechseln. Dort sind zwei Fehler behoben, die Angreifer nach Angaben des Linux-Distributors Red Hat zum Einbringen von Schadcode in ein System ausnutzen können. Die Entwickler des Programmes schreiben in ihrem Advisory allerdings nur von möglichen Abstürzen des Clients.

Die erste Schwachstelle beruht auf einem Buffer Overflow bei der Verarbeitung von Nachrichten, die eine mehr als 8192 Bytes lange URL enthalten. Die zweite Lücke entsteht durch einen Fehler beim Einlesen von MSN-Nachrichten mit leeren SLP-Messages.

Quelle und Links : http://www.heise.de/newsticker/meldung/59471

[SiLæncer]

Der Multi-Messenger GAIM des Gnome-Projektes, der auch auf andere Plattformen wie Windows portiert wird, enthält mehrere Schwachstellen, die das Einschleusen und Ausführen von beliebigem Code sowie eine Denial-of-Service-Attacke ermöglichen. In GAIM kann es zu einem Pufferüberlauf auf dem Heap kommen, wenn Abwesenheitsmeldungen durch das AIM- und ICQ-Protokoll verarbeitet werden, wodurch möglicherweise fremder Code eingeschleust und ausgeführt werden kann. Eine zweite Lücke betrifft das Parsen von Dateinamen in Dateitransfers, hier kann der Instant-Messaging-Client durch präparierte Zeichenketten aus anderen Zeichensätzen als UTF8 abstürzen. Weiterhin enthält GAIM eine PowerPC-spezifische Lücke, sie betrifft das Gadu-Protokoll. Auch hier kann der universelle Messenger mit präparierten Nachrichten zum Absturz gebracht werden.

Betroffen sind GAIM-Versionen bis einschließlich der aktuellen Fassung 1.4.0. Ein offizieller Patch lässt noch auf sich warten, einige Linux-Distributoren arbeiten aber mit einem rückportierten Patch, wahrscheinlich aus dem GAIM-CVS auf Sourceforge. Anwender, die GAIM einsetzen, sollten nach aktualisierten Paketen von ihrem Distributor Ausschau halten und bei Verfügbarkeit umgehend das Update einspielen.

Quelle und Links : http://www.heise.de/newsticker/meldung/62698

[SiLæncer]

Durch eine kritische Lücke im Instant Messenger Pidgin kann ein Angreifer Schädlinge in einen Rechner schleusen und starten. Ursache des Problems ist ein Fehler in der von Pidgin benutzen Bibliothek libpurple, durch den sich mit präparierten MSN-SLP-Paketen Code in den Speicher des Systems schreiben und ausführen lassen. Eine Interaktion des Opfers ist nicht erforderlich. Zudem muss der Angreifer nicht in der Buddy-Liste stehen, um einen erfolgreichen Angriff durchführen zu können.

Während die Pidgin-Anwender in ihrem Bericht zu der Lücke angeben, die Lücke in Pidgin 2.5.9 beziehungsweise libpurple 2.5.9 beseitigt zu haben, schreibt der Entdecker der Lücke CoreSecurity, dass erst die Version 2.6.0 nicht mehr verwundbar ist. zur Verwirrung trägt bei, dass die Entwickler gestern nacheinander die Versionen 2.5.9, 2.6.0 und 2.6.1 veröffentlicht haben. Wer ganz sichergehen will, installiert einfach die letzte Version. Für Windows steht allerdings noch 2.5.8 zum Download bereit. Neben Pidgin sind auch anderen Anwendungen wie Adium von der Lücke betroffen.

Quelle : www.heise.de


Pidgin 2.6.1 mit Audio- und Videochat veröffentlicht

[SiLæncer]

Die Entwickler des Instant Messengers Pidgin haben Version 2.6.5 vorgelegt, die eine Directory-Traversing-Schwachstelle im Zusammenhang mit der Implementierung des MSN-Protokolls schließt. Die Lücke war auf dem 26. Chaos Computer Congress (26C3) von Fabian Yamaguchi vorgeführt worden: Durch einen präparierten Emoticon-Request war es möglich, beliebige Dateien vom PC eines Opfers herunterzuladen.

Betroffen sind alle Versionen vor 2.6.5. Die neue Version steht für Windows, Mac OS X und Linux zum Download bereit. Die Entwickler empfehlen dringend, auf die neueste Version zu wechseln.

Quelle : www.heise.de


Pidgin 2.6.5 erschienen