Sicherheit

Pidgin-Update beseitigt Sicherheitslücken

von - 18.02.2013
Pidgin-Update beseitigt Sicherheitslücken
Die Entwickler des freien Multiprotokoll-Messengers Pidgin haben eine neue Version veröffentlicht. Pidgin 2.10.7 bietet einige Verbesserungen, außerdem werden mehrere Fehler und vier Sicherheitslücken beseitigt.
Mit der neuen Pidgin-Version 2.10.7 beseitigen die Entwickler zahlreiche Fehler. Darüber hinaus schließen sie vier Sicherheitslücken, von denen es eine ermöglicht, beliebigen Code einzuschleusen und auszuführen. Diese kritische Lücke CVE-2013-0272 tritt bei der Unterstützung von MXit ("mix it"), dem größten sozialen Netzwerk in Afrika auf. Bei der Verarbeitung übermäßig langer HTTP-Header kommt es hier offenbar zu einem Pufferüberlauf.
Eine weitere Lücke mit der Bezeichnung CVE-2013-0271 betrifft ebenfalls MXit. Sie ermöglicht einem Angreifer Zugriff auf den Speicherort einer Bilddatei. Die anderen beiden Sicherheitslücken ermöglichen Programmabstürze. Darüber können Angreifer DoS-Angriffe ausführen. Einmal ist hier die Unterstützung für Lotus Sametime (IBM) in der zentralen Pidgin-Programmbibliothek libpurple betroffen. Die Lücke CVE-2013-0273 kann einen Absturz durch Nutzer-IDs auslösen, sofern diese über 4096 Bytes groß sind. Die Lücke CVE-2013-0274 befindet sich ebenfalls in libpurple. Sie tritt bei der Verarbeitung sehr langer Antworten eines UPnP-Routers auf.
Laut Changelog zu Pidgin 2.10.7 beseitigen die Entwickler außerdem zahlreiche Bugs. Unter anderem haben sie mehrerer Pidgin-Programmbibliotheken aktualisiert, die aus anderen Software-Projekten stammen, und teilweise ebenfalls Sicherheitslücken enthalten. Erneuert wurden beispielsweise Freetype und libpng.
Obwohl die kritischen Sicherheitslücken nicht jeden Nutzer betreffen, sollten Pidgin-Nutzer das Programm zeitnah aktualisieren. Auch die weniger gefährlichen Sicherheitslücken lassen sich nach Veröffentlichung der Sicherheitsinfos und durch Vergleich mit der Vorgängerversion leicht ausnutzen.
Verwandte Themen