Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / XCHAT permite la ejecución de código arbitrario

XCHAT permite la ejecución de código arbitrario

Por Deja un comentario

XCHAT permite la ejecución de código arbitrario con los privilegios
del usuario que esté utilizando el programa.
XCHAT es un programa de IRC (Internet Relay Chat) para clientes
X-Window, lo que incluye UNIX en general y LINUX en particular. Un
error de programación en la gestión de URLs permite la ejecución de
código arbitrario en la máquina del usuario, con los privilegios del
usuario que esté utilizando el programa.

El problema se produce al no “escapar” de ninguna manera los posibles
caracteres especiales que se le presenten en una URL, al pulsar con el
botón derecho sobre una URL en una ventana del IRC.

Las versiones afectadas son de la 1.3.9 en adelante.

Todo usuario de XCHAT debería actualizar su versión de manera
inmediata. La nueva versión invoca al navegador directamente, sin
pasar a través del “shell”.

Jesús Cea Avión
jcea@hispasec.com

Más información:

XCHAT
http://www.xchat.org/

XChat can pass URLs from IRC to a shell
http://www.redhat.com/support/errata/RHSA-2000-055-03.html

X-Chat Command Execution Via URLs Vulnerability
http://www.securityfocus.com/frames/?content=/vdb/bottom.html%3Fvid%3D1601

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.