Dwa nowe błędy w Gadu-Gadu

Niedawno informowaliśmy o wykryciu nowych bardzo poważnych błędów w popularnym komunikatorze Gadu-Gadu. Pomimo udostępnienia nowej wersji programu, której zadaniem było poprawienie bezpieczeństwa użytkowników problem nadal nie został rozwiązany. Wykryto dwa nowe błędy.

Pierwszy błąd pozwala wysłać do użytkownika programu łańcuch znaków, którym może być dowolny url. Wskazany url może zawierać kod javascript lub odnośnik do takiego kodu. Zostanie on wykonany w strefie lokalnej po tym jak użytkownik otworzy okno wiadomości. Podatność dotyczy również wszystkich poprzednich wersji.


Przykład:

www.po"style=background-image:url(javascript:document.write
('%3cscript%3ealert%28%22you%20are%20owned!%22%29%3c%2fscript%3e'))
;".pl

Drugi błąd pozwala wykonać prosty atak typu DoS. Domyślna konfiguracja programu umożliwia wysyłanie obrazków. Program zawiera nową pętlę sprawdzającą nazwę pliku chroniąc przed niebezpiecznymi znakami, które może wysłać użytkownik. Niestety w pewnych przypadkach pętla nigdy się nie wykona stając się pętlą nieskończoną. Przypadek taki występuje, gdy nazwa pliku graficznego nie zaczyna się jednym z poniższych znaków:

'..', '/', '\' lub '&#'

Niespełnienie warunku pętli powoduje iż pętla wykorzystuje zasoby systemowe uniemożliwiając otrzymywanie lub wysyłanie wiadomości.

Przykład:

Wyślij dowolny obrazek (nazwa pliku musi być 'normalną' nazwą pliku).

Użytkownikom programu Gadu-Gadu zalecamy aktualizację do nowej wersji (build 156).

Niestety przykład komunikatora Gadu-Gadu wykazuje po raz kolejny iż oprogramowanie komercyjne jest bardziej narażone na błędy niż oprogramowanie open source.

Wszystkim czytelnikom zalecamy inne rozwiązania nie koniecznie komercyjne.

Źródło informacji: SecurityFocus.com