Lücke gestopft
Sicherheits-Update für Pidgin
Der Multiprotokoll-fähige Instant Messenger Pidgin ist in der Version 2.6.1 verfügbar. Die Entwickler haben eine Sicherheitslücke beseitigt, die das Einschleusen von Code via MSN ermöglichen kann.
Pidgin ist ein Instant Messenger für Windows und Linux, der viele gängige Protokolle wie AIM, ICQ, IRC, Google Talk, MSN, Yahoo oder MyspaceIM unterstützt. Diese Funktionalität basiert auf der Programmbibliothek "libpurple", in der kürzlich eine Sicherheitslücke entdeckt worden ist. Mit der aktuellen Version 2.6.1 haben die Pidgin-Entwickler diese Schwachstelle beseitigt. Pidgin ist Open Source Software und war früher unter dem Namen "Gaim" bekannt.
Das Sicherheitsunternehmen Core Security meldet eine Sicherheitslücke in der Programmbibliothek libpurple, bis einschließlich Version 2.5.8 von Pidgin. Wenn Pidgin in einem MSN-Konto angemeldet ist, kann ein Angreifer speziell präparierte Pakete senden, die Pidgin zum Absturz bringen. Dabei kann eingeschleuster Code, etwa Malware, zur Ausführung gelangen. Betroffen sind auch andere Instant Messenger, die auf libpurple basieren, etwa Adium (für Mac) oder Finch.
Die Sicherheitslücke haben die Pidgin-Entwickler bereits in der Version 2.5.9 geschlossen. Diese Version ist jedoch nur als Quelltext erhältlich, der für Entwickler anderer Anwendungen gedacht ist. Die Fertigstellung der Version 2.6.0 mit einigen neuen Funktionen war bereits recht weit fortgeschritten, als die Sicherheitsmeldung von Core Security eintraf.
So beherrscht Pidgin jetzt prinzipiell auch Voice- und Video-Chats, allerdings gibt es bislang nur ein Protokoll-Plugin für XMPP unter Linux, das diese Fähigkeit nutzt. Weitere sollen jedoch folgen. Die Pidgin-Entwickler haben gleich noch die Version 2.6.1 nach geschoben, um ein paar Fehler auszumerzen.
