Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Producent popularnego w Polsce komunikatora Gadu-Gadu rozprawił się już - według słów rzecznika - z luką umożliwiającą zdalne wykonanie kodu.

robot sprzątający

reklama


Dosyć szczegółowe informacje o luce (wraz z kodem proof-of-concept) zostały przedwczoraj upublicznione przez Kacpra Szczęśniaka na liście Full Disclosure, o czym redakcję DI poinformował redaktor serwisu GaduNews.pl.

Z informacji tych wynika, że komunikator nieprawidłowo obsługiwał transfer plików, umożliwiając zdalne wykonanie kodu na komputerze ofiary korzystającej z dowolnej wersji oryginalnego klienta Gadu-Gadu. Wystarczyło, by osoba atakująca umieściła w nazwie przesyłanego pliku odpowiedni kod HTML/JavaScript. Zaimplementowane w Windowsie mechanizmy ASLR (ang. Address Space Layout Randomization) i DEP (ang. Data Execution Prevention) nie zabezpieczały przed atakiem.

Natychmiast po otrzymaniu zgłoszenia przystąpiliśmy do intensywnych prac, aby znaleźć zagrożenie i wprowadzić poprawkę tak szybko, jak to możliwe. I mam świeżą dobrą informację - w kilka godzin udało nam się już wdrożyć poprawkę, załatała ona dziurę w bezpieczeństwie - zapewnił redakcję Dziennika Internautów Jarosław Rybus, rzecznik prasowy GG Network S.A. Będziemy jeszcze przyglądać się tej sprawie - zapowiedział przedstawiciel firmy, dodając, że problem nie dotyczył wersji mobilnych GG ani wersji Web Gadu.

>> Czytaj także: Nowe GG jesienią, teraz aktualizacja

Nie jest to pierwsza luka załatana przez producenta aplikacji w tym roku. W styczniu zlikwidowano błąd, który pozwalał na pobranie tzw. live streamu dowolnego użytkownika, nawet jeśli nie miało się go na swojej liście kontaktów. Pod koniec lutego natomiast twórcy Gadu-Gadu załatali dziurę umożliwiającą atak XSS (ang. cross-site scripting).


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *