آسیب پذیری Pidgin و Adium

منتشر شده در دسته : تازه ها

آسیب پذیری Pidgin و Adium افشا و CVE-1017-2640 ثبت شد. آسیب پذیری خطرناک و جدی در کتابخانه Libpurple افشا شد. کتابخانه ای که به منظور توسعه برنامه های پیام رسان شامل Pidgin و Adium برای پلتفورم MacOS استفاده می شود.

آسیب پذیری Pidgin و Adium

Adium نسخه 1.5.10.2 آسیب پذیر است و به صورت ریموت با اجرای کد قابل اکسپلوییت و بکارگیری می باشد. هرچند گفتگوهایی برای برطرف سازی CVE-1017-2640 مطرح شده ولی Adium هنوز هیچ پچ و نسخه ای برای برطرف سازی این آسیب پذیری ارایه نکرده است. هر Pidgin در نسخه 2.12.0 پچ شده است.

اکنون این صحبت مطرح شده که Libpurple و Adium نبایستی استفاده شود. مگر اینکه توسعه دهندگان برنامه Adium پیشنهادی برای رفع این مشکل ارایه کنند و آنچه از شواهد پیداست برنامه ای برای رسیدگی به آسیب پذیری های آتی در کد برنامه(Adium)  و کدهای وابسته آن (Libpurple) وجود ندارد. توصیه می شود توسعه دهندگان از کتابخانه Libpurple در برنامه های خود استفاده نکنند چرا که به هیچ وجه در طراحی آن تمهیدات امنیتی رعایت نشده است.

فرایند مستندسازی برنامه Adium اینگونه نشان می دهد که برنامه برای ارتقا یا ساخت مجدد کتابخانه libpurple ندارد. Adium برنامه ای متن باز پیام رسان برای کاربران پلتفورم اپل می باشد و کاربران زیادی از آن به منظور اتصال به دیگر شبکه های پیام رسانی سریع (IM) استفاده می کنند شامل گوگل تالک , AIM و …

Adium با استفاده از Cocoa API در MacOS نوشته شده و از رمزنگاری OTR بر روی XMPP نیز پشتیبانی می کند.

Libpurple در برنامه های پیام رسان مختلفی همچون Pidgin بر روی ویندوز و لینوکس و یونیکس و همچنین Finch (نسخه مبتنی بر متن بر روی لینوکس و یونیکس) استفاده می شود.

آسیب پذیری موجود از نوع Out-of-Bound write می باشد که در حین ارسال یک  XML نامعتبر توسط هکر رخ می دهد. بکارگیری موفقیت آمیز این آسیب پذیر موجب شده تا هکر وضعیت رد سرویس و اجرای کدهای اختیاری را به صورت ریموت اجرا کند.

خوشحال می شویم دیدگاههای خود را در میان بگذارید * فرصت پاسخگویی به سوالات در بلاگ وجود ندارد

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *