sábado, 1 de febrero de 2014

Múltiples vulnerabilidades en Pidgin

Se ha publicado una nueva versión del popular cliente de mensajería instantánea Pidgin, que soluciona múltiples errores de seguridad.

Pidgin es un programa de mensajería instantánea multicuenta y multiprotocolo distribuido bajo licencia GNU GPL. Permite por tanto conectarse de manera simultánea a varios servicios de mensajería como AIM, MSN, Jabber, Gtalk o ICQ entre otros.

Las vulnerabilidades son las siguientes:
  • CVE-2014-0020: Denegación de servicio a través de mensajes IRC con argumentos manipulados.
        
  • CVE-2013-6490: Desbordamiento de memoria intermedia a través de una cabecera SIMPLE con Content-Length negativo.
        
  • CVE-2013-6489: Desbordamiento de memoria intermedia a través de un emoticono Mxit manipulado.
        
  • CVE-2013-6487: Desbordamiento de memoria intermedia en Gadu-Gadu.
        
  • CVE-2013-6486: Ejecución de ficheros no confiables al hacer click en URIs file://.
         
  • CVE-2013-6485: Desbordamiento de memoria intermedia al procesar respuestas HTTP de tipo 'Chunked Transfer-Encoding'.
         
  • CVE-2013-6484: Denegación de servicio a través de respuestas manipuladas de un servidor STUN.
         
  • CVE-2013-6483: Referencia a puntero nulo en XMPP a través de respuestas 'iq' con origen manipulado.
        
  • CVE-2013-6482: Múltiples referencias a puntero Nulo en MSN.
        
  • CVE-2013-6481: Denegación de servicio en el plugin del protocolo Yahoo! al leer fuera de límites de un mensaje P2P.
         
  • CVE-2013-6479: Denegación de servicio a través de respuestas HTTP manipuladas.
         
  • CVE-2013-6478: Denegación de servicio al mostrar URLs demasiado grandes en una ventana de tipo 'tooltip'.
        
  • CVE-2013-6477: Denegación de servicio a través de mensajes XMPP con marcas de tiempo manipuladas.
         
  • CVE-2012-6152: Denegación de servicio en el plugin del protocolo Yahoo! al procesar cadenas con codificación distinta a UTF-8.
        
  • Denegación de servicio en el renderizado de algunos caracteres Unicode.

Todos los fallos se han solucionado en la versión 2.10.8.

Más información:

Remotely triggerable crash in IRC argument parsing

Buffer overflow in SIMPLE header parking
Buffer overflow in MXit emoticon parsing
Buffer overflow in Gadu-Gadu HTTP parsing
Pidgin uses clickable links to untrusted executables
Buffer overflow parsing chunked HTTP responses
Crash reading response from STUN server
XMPP doesn't verify 'from' on some iq replies
NULL pointer dereference parsing SOAP data in MSN
NULL pointer dereference parsing OIM data in MSN
NULL pointer dereference parsing headers in MSN
Remote crash reading Yahoo! P2P message
Remote crash parsing HTTP responses
Crash when hovering pointer over a long URL
Crash handling bad XMPP timestamp
Yahoo! remote crash from incorrect character encoding
Windows Pidgin crash receiving some characters

Fernando Castillo

2 comentarios:

  1. "Todos los fallos se han solucionado en la versión 2.10.8.". Pues en Ubuntu todavía van por la 2.10.3...

    ResponderEliminar
  2. En su web ya está la 2.10.9

    ResponderEliminar