Groźna luka w GG załatana

26-05-2011, 08:48

Producent popularnego w Polsce komunikatora Gadu-Gadu rozprawił się już - według słów rzecznika - z luką umożliwiającą zdalne wykonanie kodu.

Dosyć szczegółowe informacje o luce (wraz z kodem proof-of-concept) zostały przedwczoraj upublicznione przez Kacpra Szczęśniaka na liście Full Disclosure, o czym redakcję DI poinformował redaktor serwisu GaduNews.pl.

Z informacji tych wynika, że komunikator nieprawidłowo obsługiwał transfer plików, umożliwiając zdalne wykonanie kodu na komputerze ofiary korzystającej z dowolnej wersji oryginalnego klienta Gadu-Gadu. Wystarczyło, by osoba atakująca umieściła w nazwie przesyłanego pliku odpowiedni kod HTML/JavaScript. Zaimplementowane w Windowsie mechanizmy ASLR (ang. Address Space Layout Randomization) i DEP (ang. Data Execution Prevention) nie zabezpieczały przed atakiem.

Natychmiast po otrzymaniu zgłoszenia przystąpiliśmy do intensywnych prac, aby znaleźć zagrożenie i wprowadzić poprawkę tak szybko, jak to możliwe. I mam świeżą dobrą informację - w kilka godzin udało nam się już wdrożyć poprawkę, załatała ona dziurę w bezpieczeństwie - zapewnił redakcję Dziennika Internautów Jarosław Rybus, rzecznik prasowy GG Network S.A. Będziemy jeszcze przyglądać się tej sprawie - zapowiedział przedstawiciel firmy, dodając, że problem nie dotyczył wersji mobilnych GG ani wersji Web Gadu.

>> Czytaj także: Nowe GG jesienią, teraz aktualizacja

Nie jest to pierwsza luka załatana przez producenta aplikacji w tym roku. W styczniu zlikwidowano błąd, który pozwalał na pobranie tzw. live streamu dowolnego użytkownika, nawet jeśli nie miało się go na swojej liście kontaktów. Pod koniec lutego natomiast twórcy Gadu-Gadu załatali dziurę umożliwiającą atak XSS (ang. cross-site scripting).


Źródło: GaduNews.pl, Dziennik Internautów
  
znajdź w serwisie

RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Sierpień 2020»
PoWtŚrCzwPtSbNd
 12
3456789
10111213141516
17181920212223
24252627282930
31