Neue Pidgin-Version beseitigt Sicherheitslücken

Mit dem Update wird ein Fehler in der Programmbibliothek Libpurple behoben, der Pidgin unter bestimmten Bedingungen zum Absturz bringen konnte. Das Problem tritt allerdings nur bei Verwendung von bestimmten Benutzernamen in Verbindung mit dem IRC-Protokoll-Plug-in auf.

Ein anderes Problem betrifft das MSN-Protokoll-Plug-in. Hier kann es zu Abstürzen bei Verwendung des HTTP-Protokolls kommen. Diese betrifft aber nur Anwender, die das HTTP-Protokoll aktiviert haben. Standardmäßig kommt es nicht zum Einsatz.

Potentiell gefährlicher ist eine Sicherheitslücke, die nur unter Windows auftritt. Wenn ein Benutzer ein „file://“-URI in einer Nachricht erhält und diese anklickt, wird die Datei gestartet. Wenn hier Schadcode enthalten ist, könnte der Rechner infiziert werden. Nach dem Update auf Pidgin 2.10.0 wird die Datei stattdessen nur im Windows Explorer angezeigt.

Weitere Informationen über das Update und eine Liste der beseitigten Fehlern gibt es im Pidgin-ChangeLog. Pidgin 2.10.0 ist als Download für Windows, Mac OS X und Linux verfügbar. Auch wenn die Sicherheitslücken als nicht besonders kritisch angesehen werden, sollte das Update auf die Version 2.10.0 möglichst zeitnah erfolgen. Erfahrungsgemäß versuchen Hacker besonders kurz nach dem Bekanntwerden, die Schwachstellen auszunutzen.