Original-URL des Artikels: https://www.golem.de/0401/29463.html    Veröffentlicht: 27.01.2004 09:48    Kurz-URL: https://glm.io/29463

Ein Dutzend Sicherheitslücken in GAIM

Noch keine neue GAIM-Version verfügbar

Software-Sicherheitsexperte Stefan Esser hat zwölf Sicherheitslücken im Multi-Protokoll-Instant-Messenger GAIM entdeckt. Die recht beliebte Software läuft unter Linux, DSD, MacOS X und Windows und unterstützt diverse IM-Protokolle.

Bei der Entwicklung einer Erweiterung für GAIM entdeckte Esser einen Integer-Überlauf, der bei der Behandlung von AIM-DirectIM-Paketen auftreten kann. Damit ist es möglich, aus der Ferne den Instant-Messenger zu übernehmen. Eine etwas genauere Untersuchung des Quellcodes zeigt dann elf weitere Sicherheitslöcher verschiedender Art auf, die insbesondere in Verbindung mit den kürzlich aufgetretenen Sicherheitslücken im Linux-Kernel gefährlich werden.

Da es noch keine neue Version gibt, in der die Probleme ausgelöscht sind, bietet Esser eine Diff-Datei an, mit der der Quelltext von GAIM gepatcht werden kann. Dieser Patch wurde vom FreeBSD-Sicherheitsteam entwickelt.  (ji)


Verwandte Artikel:
Zertifikate: Trustico verwundbar für Root-Code-Injection   
(01.03.2018, https://glm.io/133089 )
Trillian-Patch: Wieder Kontaktaufnahme mit Yahoo Messenger   
(10.10.2003, https://glm.io/27859 )
Ipswitch: Interner Messaging Server mit Verschlüsselung   
(14.02.2003, https://glm.io/23983 )
Kritische Sicherheitslücke in CVS   
(21.01.2003, https://glm.io/23579 )
PTI und IBRS: FreeBSD erhält Patches gegen Meltdown und Spectre   
(19.02.2018, https://glm.io/132856 )

Links zum Artikel:
eMatters: 12 x Gaim remote overflows: http://security.e-matters.de/advisories/012004.html
GAIM (.net): http://gaim.sourceforge.net/

© 1997–2020 Golem.de, https://www.golem.de/