image

Zeer ernstig lek in Instant Messenger Pidgin

woensdag 19 augustus 2009, 14:42 door Redactie, 11 reacties

Een zeer ernstig beveiligingslek in Pidgin, een populair alternatief voor Windows Live Messenger, zorgt ervoor dat aanvallers zonder enige interactie van gebruikers kwetsbare systemen kunnen overnemen. Het probleem wordt veroorzaakt door een fout in de libpurple library, waardoor een aanvaller via een speciaal geprepareerd MSN-SLP pakket willekeurige code kan uitvoeren. Voor het uitvoeren van de aanval is geen enkele interactie van het slachtoffer vereist, ook hoeft die niet bij de aanvaller in de "buddy lijst" te staan.

Inmiddels is er een update uitgebracht, hoewel de advisories van Pidgin en Core Security, het bedrijf dat het lek ontdekte, elkaar tegenspreken. Pidgin laat weten dat het lek in versie 2.5.9 is verholpen, terwijl Core Security opmerkt dat versie 2.6.0 het probleem oplost. Opmerkelijk genoeg is voor Windows gebruikers alleen versie 2.5.8 te downloaden. Pidgin-gebruikers zonder update, kunnen de aanval voorkomen door bij de privacy instellingen voor MSN accounts aan te geven dat alleen "onderstaande gebruikers" toestemming hebben.

Reacties (11)
19-08-2009, 14:54 door SirDice
Hmm... Combineer dit met die local privilege escalation en de rapen zijn behoorlijk gaar.
19-08-2009, 15:44 door Anoniem
Tja, we moeten zo nodig NIET iets van Microsoft zelf gebruiken natuurlijk.
19-08-2009, 16:25 door Anoniem
Door Anoniem: Tja, we moeten zo nodig NIET iets van Microsoft zelf gebruiken natuurlijk.
Mag ik van u de downloadlink van Windows Live Messenger voor mijn Linux distributie?
19-08-2009, 17:23 door Anoniem
Een beetje idioot natuurlijk, heeft idd niets met Microsoft te maken, Pidgin is beschikbaar voor zowat alle besturingsystemen, heb het bij mij op BSD, Linux en XP staan als multiboot

FreeBDS is trouwens zo samengesteld dat applicaties die daar boven op draaien niet aan het besturingssysteem kunnen. Eigenlijk een opzet dat verplicht zou moeten worden voor alle besturingssystemen, desnoods alles in sandbox
19-08-2009, 20:48 door Anoniem
Het is wel supersnel gerepareerd dat is bij MS wel eens anders. Meer kunnen ze ook niet doen fouten zitten in alle software.
19-08-2009, 20:57 door spatieman
net 2.6.1 gedowloaded.
19-08-2009, 21:39 door Anoniem
In ubuntu Jaunty (9.04) staat de tijdelijke 'fix' default al aan.

-piet
19-08-2009, 21:56 door Thasaidon
Pidgin-gebruikers zonder update, kunnen de aanval voorkomen door bij de privacy instellingen voor MSN accounts aan te geven dat alleen "onderstaande gebruikers" toestemming hebben.
Euh... Dat laatste heeft toch iedereen aan staan neem ik aan? Of ben ik nou gek?
Anders word je helemaal gek van die "drive by bots" die zomaar ff een linkje naar je toe gooien...
20-08-2009, 00:12 door Anoniem
Wat is het leven toch heerijk rustig zo, zonder enige IM zooi...
20-08-2009, 09:11 door Thasaidon
Door Anoniem: Tja, we moeten zo nodig NIET iets van Microsoft zelf gebruiken natuurlijk.
Alsof alle Microsoft producten bug/lek vrij zijn...
Als je niets zinnigs te zeggen hebt, zeg dan niets.

Gelukkig hebben de mensen achter Pidgin snel aktie ondernomen en zou het lek nu gedicht zijn.
( @anoniem, iets wat je bij Microsoft niet snel zult zien gebeuren)
Versie 2.6.1 is inmiddels voor Windows al te downloaden op hun site.
22-08-2009, 12:01 door Uruk-Hai
Ik heb dan wel Ubuntu, maar als ik dit soort berichten lees ben ik blij dat ik zo min mogelijk software actief heb als de computer net is opgestart. IM software staat bij mij standaard ook uitgeschakeld. Daarnaast gebruik ik guarddog.

Ik zie trouwens dat ik nog maar over Pidgin 2.5.5 beschik, terwijl ik net nog Ubuntu Updatebeheer (incl. een refresh) heb uitgevoerd... In mijn repositories staat nog steeds gewoon Pidgin 2.5.5 als meest recente versie.

Ik vind het opvallend dat Canonical daar zo traag mee is, want die update naar de nieuwe Thunderbird 2.0.0.23 om dat SSL-lek te dichten heb ik daarnet wel binnen kunnen halen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.