漏洞起因
异常条件处理失败错误
危险等级
低
影响系统
Miranda IM 0.8.16
Miranda IM 0.7.1
Miranda IM 0.7
不受影响系统
危害
忽略安全设置,泄漏敏感信息。
攻击所需条件
攻击者必须访问Miranda IM。
漏洞信息
Miranda IM是一款支持多种协议的即时聊天客户端程序。
Miranda IM存在缺陷,在部分条件下,Miranda会忽略Jabber帐户中设置的"Use TLS"选项而使用未加密连接。
在如下条件的情况下:
-jabber帐户设置(Network – Jabber – Account)中启用了"Use TLS"。
-网络设置中启用了"Validate SSL certificates"。
-高级jabber设置(Network – Jabber – Advanced, Miscellaneous – Server options)中启用了"Disable SASL authentication"。
那么Miranda会不使用TLS加密选项连接服务器,所有数据以明文发送。
测试方法
厂商解决方案
目前没有解决方案提供:
http://www.miranda-im.org/
漏洞提供者
Jan Schejbal
0 条评论。