5111 Letture

Grave vulnerabilità in Pidgin: pronta la versione aggiornata

Diamo notizia della scoperta di una pericolosa vulnerabilità di sicurezza all'interno di Pidgin, il famoso client di messaggistica istantanea opensource. Come conferma il bollettino pubblicato sul sito ufficiale del progetto (ved. questa pagina), un aggressore può essere in grado di arrivare ad eseguire codice nocivo sul sistema dell'utente sfruttando una lacuna del programma nella gestione dei pacchetti SLP di MSN. Nessuna interazione è richiesta da parte dell'utente: l'aggressore non deve nemmeno essere presente tra i contatti della vittima per riuscire a sferrare l'attacco.

L'errore risiederebbe nella libreria "libpurple": essa offre il supporto per molteplici network di messaggistica consentendo il login a più servizi attraverso l'interfaccia di un unico software. Il protocollo SLP di MSN si ispira al funzionamento di SIP, con un numero più ristretto di "metodi" utilizzabili: in questa pagina è descritto nel dettaglio il funzionamento di MSN SLP.


Tutti gli utenti di Pidgin è bene provvedano immediatamente all'aggiornamento della versione impiegata. Affette dalla grave lacuna di sicurezza, infatti, sono tutte le versioni del programma antecedenti la 2.5.9. Nelle scorse ore sono state messe a disposizione più release in rapida successione: la versione più aggiornata - esente da problematiche conosciute - è al momento la 2.6.1.

Pidgin 2.6.1 può essere prelevato gratuitamente facendo riferimento a questa scheda.

  1. Avatar
    ruru
    26/08/2009 15:50:59
    a dire il vero è un problema delle library di msn messangers, infatti ciò si verifica su msn e non su altre tipologie di client messaging ed è indipendente da pidgin/gaim; infatti questo si verifica anche su msn messangers, kopete, amns, e tanti altri. Felice comunque che almeno qualcuno abbia cercato di risolvere il problema, purtroppo se anche gli altri progetti non lo risolvono sarà difficile eliminare del tutto questo tipo di attacchi
Grave vulnerabilità in Pidgin: pronta la versione aggiornata - IlSoftware.it