Grupa sec-labs team opublikowała informację o niebezpiecznej luce w komunikatorze Gadu-Gadu. Wiadomość dotyczy wszystkich wersji GG, w których możliwe jest przesyłanie obrazków.
Wykryta dziura pozwala na zdalne wykonanie kodu na prawach zalogowanego użytkownika. Błąd programu związany jest z funkcją wysyłania obrazków i jest obecny prawdopodobnie we wszystkich wersjach GG udostępniających tę funkcję.
Na szczęście, wydaje się, że trudno będzie wykorzystać tę lukę na masową skalę, gdyż atakujący musi znajdować się w liście kontaktów ofiary.
Przy wymianie komunikatów dotyczących wysyłania obrazka możliwe jest przepełnienie sterty (heap), które może być wykorzystane przez atakującego do nadpisania dowolnej 32-bitowej wartości w pamięci i skoku do złośliwego kodu załadowanego do pamięci komputera - ofiary przez intruza.
Należy zachować szczególną ostrożność przy zawieraniu nowych, przypadkowych kontaktów i zainstalować poprawki po udostępnieniu ich przez producenta:
Szczegółowe informacje na stronie:
źródło: di.com.pl
