Sicherheitslücke in vielen Chat-Programmen

Ein Sicherheitsloch in der Bibliothek „libotr“, die auf dem OTR-Protokoll (Off the Record) basiert, wirkt sich auch auf die Sicherheit mehrerer Chat-Programme aus. Betroffen sind unter anderem ChatSecure, Pidgin, Adium und Kopete, die alle diese Bibliothek eingebunden haben.

Ein Angreifer kann die Programme nach Informationen des deutschen Sicherheitsanbieters X41 D-SEC entweder zum Absturz bringen oder aus der Ferne Schadcode einschleusen. Dazu reiche das Versenden bestimmter, langer Nachrichten, schreibt X41-D-SEC-Gründer Markus Vervier.

Laut Vervier kann ein Angreifer nicht nur eigenen Code ausführen und so die Kontrolle über den kompletten PC übernehmen, sondern auch die für das Chatten verwendeten Schlüssel oder Chat-Protokolle klauen. Er müsse dazu nicht einmal in der Kontaktliste des Opfers stehen. Der Anwender habe keine Chance, den Angriff zu bemerken oder gar zu verhindern. Einzig ein Update verspricht Abhilfe.

Der Bug findet sich in libotr 4.1.0 und früheren Versionen. Das OTR-Team hat bereits ein Update auf Version 4.1.1 veröffentlicht. Bislang wurden außerdem bereits Aktualisierungen für die Android- und iOS-App ChatSecure und Adium veröffentlicht. Das verbreitete Pidgin und der KDE-Client Kopete wurden dagegen noch nicht aktualisiert.