CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

23/08/2011

Vulnerabilitat en el client de Missatgeria Instantània Pidgin

Una incorrecta gestió d'URLs pot utilitzar-se per a executar codi de forma remota

Risc: Alt

Pidgin suporta el maneig d'URLs en les sessions de missatgeria instantània. La finestra de conversació deixa passar URLs directament a l'API d'execució de codi, on és executada sota el context de l'usuari que executa l'aplicació. 

Quan se li passa una adreça del tipus file://, un executable maliciós pot allotjar i executar un recurs WEBDAV/SMB remot.

La vulnerabilitat requereix la interacció d'usuari, de manera que ha de punxar un enllaç modificat, però la funció d'inserir enllaços de Pidgin dóna l'opció a afegir una descripció a l'enllaç; la qual cosa permetria emmascarar l'adreça subjacent. Açò fa que l'enllaç puga passar més inadvertit, atés que sembla un enllaç legítim.

Sistemes Afectats:

Versions de Pidgin, anteriors a 2.9.0

Referències:

2011-3185

Solució:

Actualitzeu a la versió 2.10.0

Notes:

http://www.insomniasec.com/advisories/ISVA-110822.1.htm
http://www.pidgin.im/news/security/?id=55 

Font: Insomnia Security

CSIRT-CV