Krytyczna luka w Gadu-Gadu odkryta i zamknięta

Krytyczna luka w Gadu-Gadu odkryta i zamknięta
Wpisany przez Rafał Kowalewski
Czwartek, 26 Maj 2011 08:27 - Zmieniony Czwartek, 26 Maj 2011 08:56
Kacper Szcześniak opublikował na liście Full Disclosure informację o odnalezieniu krytycznej
luki zero-day w programie Gadu-Gadu, która umożliwia napastnikowi atak na komputer bez
udziału użytkownika. Kilka godzin po publikacji wiadomości na temat luki w internecie, zespół
Gadu-Gadu, jak twierdzi rzecznik prasowy spółki, wdrożył poprawkę i załatał tę poważną dziurę.
Luka dotyczy nieprawidłowej obsługi żądań dotyczącej transferu plików. Atak można
przeprowadzić odpowiednio nazywając przesyłany do ofiary plik. 255 znaków wystarczy, aby
zawrzeć w nim kod HTML/JavaScript, który umożliwi zdalne sterowanie komputerem ofiary.
Napastnik może bez wiedzy użytkownika zainstalować złośliwe oprogramowanie na
atakowanym komputerze.
Luka dotyczy wszystkich desktopowych wersji komunikatora GG, nie licząc WebGadu oraz
mobilnych GG. Czy i kiedy aktualizacja zostanie wydana - tego niewiadomo. Wobec
niepewności oprogramowania komunikatora, najlepiej albo korzystać z WebGadu, albo
przenieść się na innego klienta.
Źródło: Seclists, Niebezpiecznik
1/1