XCHAT permite la ejecución de código arbitrario con los privilegios
del usuario que esté utilizando el programa.
XCHAT es un programa de IRC (Internet Relay Chat) para clientes
X-Window, lo que incluye UNIX en general y LINUX en particular. Un
error de programación en la gestión de URLs permite la ejecución de
código arbitrario en la máquina del usuario, con los privilegios del
usuario que esté utilizando el programa.
El problema se produce al no «escapar» de ninguna manera los posibles
caracteres especiales que se le presenten en una URL, al pulsar con el
botón derecho sobre una URL en una ventana del IRC.
Las versiones afectadas son de la 1.3.9 en adelante.
Todo usuario de XCHAT debería actualizar su versión de manera
inmediata. La nueva versión invoca al navegador directamente, sin
pasar a través del «shell».
jcea@hispasec.com
Más información:
XChat can pass URLs from IRC to a shell
http://www.redhat.com/support/errata/RHSA-2000-055-03.html
X-Chat Command Execution Via URLs Vulnerability
http://www.securityfocus.com/frames/?content=/vdb/bottom.html%3Fvid%3D1601
Deja una respuesta