1689937

Messenger-Update beseitigt vier Sicherheitslücken

15.02.2013 | 14:51 Uhr |

Der Multiprotokoll-Messenger Pidgin ist in der neuen Version 2.10.7 erschienen. Darin haben die Entwickler des Open-Source-Programms nicht nur Bugs beseitigt, sondern auch vier Sicherheitslücken geschlossen.

Pidgin ist ein so genannter Multiprotokoll-Messenger, also ein Chat-Programm, das mehrere, ganz unterschiedliche und zum Teil proprietäre Chat-Verfahren unterstützt. Dazu zählen etwa ICQ, AIM, MSN (Windows Live Messenger), XMPP und IRC (Internet Relay Chat). In der neuen Pidgin-Version 2.10.7 haben die Entwickler zahlreiche Bugs ausgemerzt. Außerdem haben sie vier Sicherheitslücken beseitigt, von denen zumindest eine geeignet sein kann, um Code einzuschleusen und auszuführen.

Dieser Fehler steckte in der Unterstützung für MXit ("mix it"), das nach eigener Darstellung größte soziale Netzwerk in Afrika, zu dem auch ein Instant Messenger gehört. Es handelt sich um einen Pufferüberlauf, der bei der Verarbeitung übermäßig langer HTTP-Header auftreten kann. Eine zweite MXit betreffende Lücke kann es einem Angreifer erlauben den Speicherort einer Bilddatei zu beeinflussen.

Zwei weitere Schwachstellen betreffen Programmabstürze, die für DoS-Angriffe genutzt werden könnten. Eine betrifft die Unterstützung für Lotus Sametime (IBM) in der zentralen Pidgin-Programmbibliothek libpurple . Der Absturz kann durch User-IDs provoziert werden, die länger als 4096 Bytes sind. Die zweite Lücke dieser Art steckt ebenfalls in libpurple und kann beim Verarbeiten sehr langer Antworten eines UPnP-Routers auftreten.

Das Changelog zu Pidgin 2.10.7 weist zudem etliche weitere Verbesserungen und Bug-Fixes aus. Dazu gehört auch die Aktualisierung einiger in Pidgin genutzter Programmbibliotheken aus anderen Software-Projekten, die zum Teil ebenfalls Sicherheitslücken aufweisen, zum Beispiel Freetype oder libpng .

0 Kommentare zu diesem Artikel
1689937