漏洞起因
设计错误
危险等级
低
影响系统
Pidgin 2.x
不受影响系统
Pidgin 2.10.0
危害
远程攻击者可以利用漏洞使应用程序崩溃,或以应用程序上下文执行任意代码。
攻击所需条件
攻击者必须访问Pidgin或构建恶意URI,诱使用户解析。
漏洞信息
Pidgin是一款多协议即时通信软件。
Pidgin存在安全漏洞,允许恶意攻击者进行拒绝服务或任意代码执行攻击。
1)当处理昵称中包含特殊字符的WHO应答时IRC协议插件存在错误,可被利用触发空指针引用。
2)解析HTTP 100应答时MSN协议插件存在错误,可被利用使应用程序崩溃。
成功利用漏洞需要HTTP连接方法启用(默认禁用)并使用恶意服务器。
3)Pidgin支持IM会话中使用URL处理器,windows平台下直接把URL提交给ShellExecute API,并以当前用户运行。当通过file:// URL传递,放在WEBDAV/SMB共享上的恶意可执行文件可被装载并执行。
测试方法
厂商解决方案
Pidgin 2.10.0已经修复此漏洞,建议用户下载使用:
http://pidgin.im/
漏洞提供者
James Burton,Marius Wachtler, and Djego Ibanez
0 条评论。