Krytyczna luka w Gadu-Gadu odkryta i zamknięta
Transkrypt
Krytyczna luka w Gadu-Gadu odkryta i zamknięta
Krytyczna luka w Gadu-Gadu odkryta i zamknięta Wpisany przez Rafał Kowalewski Czwartek, 26 Maj 2011 08:27 - Zmieniony Czwartek, 26 Maj 2011 08:56 Kacper Szcześniak opublikował na liście Full Disclosure informację o odnalezieniu krytycznej luki zero-day w programie Gadu-Gadu, która umożliwia napastnikowi atak na komputer bez udziału użytkownika. Kilka godzin po publikacji wiadomości na temat luki w internecie, zespół Gadu-Gadu, jak twierdzi rzecznik prasowy spółki, wdrożył poprawkę i załatał tę poważną dziurę. Luka dotyczy nieprawidłowej obsługi żądań dotyczącej transferu plików. Atak można przeprowadzić odpowiednio nazywając przesyłany do ofiary plik. 255 znaków wystarczy, aby zawrzeć w nim kod HTML/JavaScript, który umożliwi zdalne sterowanie komputerem ofiary. Napastnik może bez wiedzy użytkownika zainstalować złośliwe oprogramowanie na atakowanym komputerze. Luka dotyczy wszystkich desktopowych wersji komunikatora GG, nie licząc WebGadu oraz mobilnych GG. Czy i kiedy aktualizacja zostanie wydana - tego niewiadomo. Wobec niepewności oprogramowania komunikatora, najlepiej albo korzystać z WebGadu, albo przenieść się na innego klienta. Źródło: Seclists, Niebezpiecznik 1/1