Múltiples vulnerabilidades en Pidgin

Hispasec

hace 12 años

Se ha publicado una nueva versión del popular cliente de mensajería instantánea Pidgin, que soluciona múltiples errores de seguridad.

Pidgin es un programa de mensajería instantánea multicuenta y multiprotocolo distribuido bajo licencia GNU GPL. Permite por tanto conectarse de manera simultánea a varios servicios de mensajería como AIM, MSN, Jabber, Gtalk o ICQ entre otros.

Las vulnerabilidades son las siguientes:

CVE-2014-0020: Denegación de servicio a través de mensajes IRC con argumentos manipulados.
CVE-2013-6490: Desbordamiento de memoria intermedia a través de una cabecera SIMPLE con Content-Length negativo.
CVE-2013-6489: Desbordamiento de memoria intermedia a través de un emoticono Mxit manipulado.
CVE-2013-6487: Desbordamiento de memoria intermedia en Gadu-Gadu.
CVE-2013-6486: Ejecución de ficheros no confiables al hacer click en URIs file://.
CVE-2013-6485: Desbordamiento de memoria intermedia al procesar respuestas HTTP de tipo ‘Chunked Transfer-Encoding‘.
CVE-2013-6484: Denegación de servicio a través de respuestas manipuladas de un servidor STUN.
CVE-2013-6483: Referencia a puntero nulo en XMPP a través de respuestas ‘iq‘ con origen manipulado.
CVE-2013-6482: Múltiples referencias a puntero Nulo en MSN.
CVE-2013-6481: Denegación de servicio en el plugin del protocolo Yahoo! al leer fuera de límites de un mensaje P2P.
CVE-2013-6479: Denegación de servicio a través de respuestas HTTP manipuladas.
CVE-2013-6478: Denegación de servicio al mostrar URLs demasiado grandes en una ventana de tipo ‘tooltip‘.
CVE-2013-6477: Denegación de servicio a través de mensajes XMPP con marcas de tiempo manipuladas.
CVE-2012-6152: Denegación de servicio en el plugin del protocolo Yahoo! al procesar cadenas con codificación distinta a UTF-8.
Denegación de servicio en el renderizado de algunos caracteres Unicode.