Una Al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Múltiples vulnerabilidades en Pidgin

Múltiples vulnerabilidades en Pidgin

Por Deja un comentario

Se han publicado varias vulnerabilidades que afectan al popular cliente de mensajería instantánea Pidgin y podrían permitir la manipulación de datos, causar una denegación de servicio y ejecutar código arbitrario de forma remota.
Pidgin es un programa de mensajería instantánea multicuenta y multiprotocolo distribuido bajo licencia GNU GPL. Permite por tanto conectarse de manera simultánea a varios servicios de mensajería como AIM, MSN, Jabber, Gtalk o ICQ entre otros.
Las vulnerabilidades son las siguientes:
  • Un error en el protocolo MXit al guardar imágenes podría ser aprovechado para sobrescribir determinados ficheros del sistema afectado. Ha sido descubierta por Chris Wysopal de Veracode y se le ha asignado el identificador CVE-2013-0271.
        
  • Un error de comprobación de límites al procesar cabeceras http entrantes, en la función ‘mxit_cb_http_read’ localizada en el fichero ‘libpurple/protocols/mxit/http.c‘ que podría utilizarse para lograr la ejecución de código arbitrario (CVE-2013-0272).
        
  • Un error en la función ‘mw_prpl_normalize (en ‘libpurple/protocols/sametime/sametime.c‘) al procesar identificadores de usuario (user ID) de longitud superior a 4096 bytes podría emplearse para provocar una denegación de servicio. Su identificador es CVE-2013-0273.
        
  • Múltiples errores en las funciones ‘upnp_parse_description_cb‘, ‘purple_upnp_discover_send_broadcast‘, ‘looked_up_public_ip_cb‘, ‘looked_up_internal_ip_cb‘, ‘purple_upnp_set_port_mapping()‘, y ‘purple_upnp_remove_port_mapping‘ cuando procesan peticiones UPnP podrían causar una denegación de servicio (CVE-2013-0274).

Las tres últimas vulnerabilidades han sido descubiertas por el equipo de Coverity Static Analysis (CSA).
La versión de Pidgin 2.10.7, que corrige todos los errores anteriormente descritos, se encuentra disponible para su descarga desde el sitio oficial. http://www.pidgin.im
Más información:
Remote MXit user could specify local file path
http://www.pidgin.im/news/security/?id=65
MXit buffer overflow reading data from network
http://www.pidgin.im/news/security/?id=66
Sametime crash with long user IDs
http://www.pidgin.im/news/security/?id=67
Crash when receiving a UPnP response with abnormally long values
http://www.pidgin.im/news/security/?id=68
Juan José Ruiz
jruiz@hispasec.com

Acerca de Juan José Ruiz

Juan José Ruiz Ha escrito 229 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.