Mit der neuen
Pidgin-Version 2.10.7 beseitigen die Entwickler zahlreiche Fehler. Darüber hinaus schließen sie vier Sicherheitslücken, von denen es eine ermöglicht, beliebigen Code einzuschleusen und auszuführen. Diese kritische Lücke
CVE-2013-0272 tritt bei der Unterstützung von MXit ("mix it"), dem größten sozialen Netzwerk in Afrika auf. Bei der Verarbeitung übermäßig langer HTTP-Header kommt es hier offenbar zu einem Pufferüberlauf.
Eine weitere Lücke mit der Bezeichnung
CVE-2013-0271 betrifft ebenfalls MXit. Sie ermöglicht einem Angreifer Zugriff auf den Speicherort einer Bilddatei. Die anderen beiden Sicherheitslücken ermöglichen Programmabstürze. Darüber können Angreifer DoS-Angriffe ausführen. Einmal ist hier die Unterstützung für Lotus Sametime (IBM) in der zentralen Pidgin-Programmbibliothek libpurple betroffen. Die Lücke
CVE-2013-0273 kann einen Absturz durch Nutzer-IDs auslösen, sofern diese über 4096 Bytes groß sind. Die Lücke
CVE-2013-0274 befindet sich ebenfalls in libpurple. Sie tritt bei der Verarbeitung sehr langer Antworten eines UPnP-Routers auf.
Laut
Changelog zu Pidgin 2.10.7 beseitigen die Entwickler außerdem zahlreiche Bugs. Unter anderem haben sie mehrerer Pidgin-Programmbibliotheken aktualisiert, die aus anderen Software-Projekten stammen, und teilweise ebenfalls Sicherheitslücken enthalten. Erneuert wurden beispielsweise Freetype und libpng.
Obwohl die kritischen Sicherheitslücken nicht jeden Nutzer betreffen, sollten Pidgin-Nutzer das Programm zeitnah
aktualisieren. Auch die weniger gefährlichen Sicherheitslücken lassen sich nach Veröffentlichung der Sicherheitsinfos und durch Vergleich mit der Vorgängerversion leicht ausnutzen.