Groźna luka w GG załatana
Transkrypt
Groźna luka w GG załatana
Groźna luka w GG załatana czwartek, 26 maja 2011 19:10 Producent popularnego w Polsce komunikatora Gadu-Gadu rozprawił się już - według słów rzecznika - z luką umożliwiającą zdalne wykonanie kodu. Dosyć szczegółowe informacje o luce (wraz z kodem proof-of-concept) zostały przedwczoraj upublicznione przez Kacpra Szczęśniaka na liście Full Disclosure, o czym redakcję DI poinformował redaktor serwisu GaduNews.pl. Z informacji tych wynika, że komunikator nieprawidłowo obsługiwał transfer plików, umożliwiając zdalne wykonanie kodu na komputerze ofiary korzystającej z dowolnej wersji oryginalnego klienta Gadu-Gadu. Wystarczyło, by osoba atakująca umieściła w nazwie przesyłanego pliku odpowiedni kod HTML/JavaScript. Zaimplementowane w Windowsie mechanizmy ASLR (ang. Address Space Layout Randomization) i DEP (ang. Data Execution Prevention) nie zabezpieczały przed atakiem. Natychmiast po otrzymaniu zgłoszenia przystąpiliśmy do intensywnych prac, aby znaleźć zagrożenie i wprowadzić poprawkę tak szybko, jak to możliwe. I mam świeżą dobrą informację w kilka godzin udało nam się już wdrożyć poprawkę, załatała ona dziurę w bezpieczeństwie zapewnił redakcję Dziennika Internautów Jarosław Rybus, rzecznik prasowy GG Network S.A. Będziemy jeszcze przyglądać się tej sprawie - zapowiedział przedstawiciel firmy, dodając, że problem nie dotyczył wersji mobilnych GG ani wersji Web Gadu. Nie jest to pierwsza luka załatana przez producenta aplikacji w tym roku. W styczniu zlikwidowano błąd, który pozwalał na pobranie tzw. live streamu dowolnego użytkownika, nawet jeśli nie miało się go na swojej liście kontaktów. Pod koniec lutego natomiast twórcy Gadu-Gadu załatali dziurę umożliwiającą atak XSS (ang. cross-site scripting). exploit można pobrać: http://seclists.org/fulldisclosure/2011/May/470 1/2 Groźna luka w GG załatana czwartek, 26 maja 2011 19:10 źrodło: di.com.pl 2/2