Błąd w najnowszym kliencie Gadu-Gadu

W najnowszej wersji klienta komunikatora Gadu-Gadu występuje błąd, który pozwala na ukrycie nazwy przesyłanego pliku. Błąd o tyle jest poważny, że nieświadomi niczego użytkownicy mogą pobrać i uruchomić fałszywy plik przykładowo zawierający wirusa.

Sposób działania jest podobny do niedawno odkrytego błądu w przeglądarce internetowej Internet Explorer gdzie można było przekazać użytkownikowi odpowiednio sformatowany adresu URL przekierowujący go na wybrany adres serwera. Cały problem tkwi w błędnym odczycie nazwy przesyłanego pliku przez klienta Gadu-Gadu.

I tak wysyłając plik z przykładową nazwą:

pic.jpg%20(228%20kB)%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20.bat

niczego nieświadomy użytkownik pomyśli, że jest to zwyczajny plik (pic.jpg) plik graficzny i zaraz po jego pobraniu postanowi uruchomić go.

Dla wyjaśnienia w powyższym zapisie mamy nazwę pliku (pic.jpg), jego prawdziwy rozmiar (228 kB) oraz długi ciąg pustych znaków i rozszerzenie (.bat).
Szczegółowe informacje na temat błędu dostępne są tutaj.

Zobacz również:
– Poważny błąd w Gadu-Gadu
– Sniffer Gadu-Gadu oraz Gadu Crypt
– Gadu-Gadu – hasła również nie są bezpieczne!
– Gadu Gadu nadal niebezpieczne – wykradanie haseł