Dosyć szczegółowe informacje o luce (wraz z kodem proof-of-concept) zostały przedwczoraj upublicznione przez Kacpra Szczęśniaka na liście Full Disclosure, o czym redakcję DI poinformował redaktor serwisu GaduNews.pl.

Z informacji tych wynika, że komunikator nieprawidłowo obsługiwał transfer plików, umożliwiając zdalne wykonanie kodu na komputerze ofiary korzystającej z dowolnej wersji oryginalnego klienta Gadu-Gadu. Wystarczyło, by osoba atakująca umieściła w nazwie przesyłanego pliku odpowiedni kod HTML/JavaScript. Zaimplementowane w Windowsie mechanizmy ASLR (ang. Address Space Layout Randomization) i DEP (ang. Data Execution Prevention) nie zabezpieczały przed atakiem.

Natychmiast po otrzymaniu zgłoszenia przystąpiliśmy do intensywnych prac, aby znaleźć zagrożenie i wprowadzić poprawkę tak szybko, jak to możliwe. I mam świeżą dobrą informację - w kilka godzin udało nam się już wdrożyć poprawkę, załatała ona dziurę w bezpieczeństwie - zapewnił redakcję Dziennika Internautów Jarosław Rybus, rzecznik prasowy GG Network S.A. Będziemy jeszcze przyglądać się tej sprawie - zapowiedział przedstawiciel firmy, dodając, że problem nie dotyczył wersji mobilnych GG ani wersji Web Gadu.

>> Czytaj także: Nowe GG jesienią, teraz aktualizacja

Nie jest to pierwsza luka załatana przez producenta aplikacji w tym roku. W styczniu zlikwidowano błąd, który pozwalał na pobranie tzw. live streamu dowolnego użytkownika, nawet jeśli nie miało się go na swojej liście kontaktów. Pod koniec lutego natomiast twórcy Gadu-Gadu załatali dziurę umożliwiającą atak XSS (ang. cross-site scripting).