2204360

Sicherheits-Update für Pidgin IM

22.06.2016 | 09:20 Uhr |

Der quelloffene Instant Messenger Pidgin ist in der neuen Version 2.11.0 erhältlich. Darin haben die Entwickler etliche Sicherheitslücken beseitigt, die zum Teil als recht problematisch anzusehen sind.

Pidgin ist Open Source Software und ein Multi-Protokoll Messenger, der eine Reihe gängiger und exotischer IM-Protokolle unterstützt, darunter ICQ, MSN, AIM, IRC und XMPP. Über Plug-ins sind weitere Protokolle und Funktionen nachrüstbar. Die neueste Version Pidgin 2.11.0 beseitigt mindestens 17 Sicherheitslücken sowie eine Reihe nicht sicherheitsrelevanter Bugs.

Bei Pidgin hat Ciscos Sicherheitsabteilung Talos zugeschlagen. Deren Sicherheitsforscher Yves Younan hat 16 Schwachstellen in Pidgin entdeckt und an das Entwickler-Team gemeldet. Alle gefundenen Sicherheitslücken stecken in Pidgins Unterstützung für das MXit-Protokoll (sprich: „mix it“). MXit ist ein aus Südafrika stammender Messenger, dessen Nutzer hauptsächlich ebendort leben.

Mindestens vier der durch Yves Younan entdeckten Schwachstellen können es einem Angreifer ermöglichen Code einzuschleusen und auszuführen. Weitere fünf Lücken eignen sich, um DoS-Angriffe auszuführen. Eine Schwachstelle könnte dazu genutzt werden PNG-Dateien in beliebigen Verzeichnissen auf den Rechner zu überschreiben. Nachdem die Lücken in Pidgin 2.11.0 beseitigt sind, hat Yves Younan eine detaillierte Dokumentation der Schwachstellen im Talos Blog veröffentlicht.

Außerdem enthält Pidgin 2.11.0 ein von Mozilla stammendes Paket von Zertifikaten, die es ermöglichen Kontakt mit Servern aufzunehmen, deren TLS-Verschlüsselung auf Zertifikaten von Let's encrypt basiert. Zudem haben die Pidgin-Entwickler alle Zertifikatsaussteller entfernt, die noch 1024-Bit Zertifikate ausstellen.

Pidgin gibt es für Windows sowie für Linux und andere Unix-artige Systeme. Für Mac OS X ist Adium erhältlich, das auf Pidgins Programmbibliothek libpurple basiert.

0 Kommentare zu diesem Artikel
2204360