27
feb

Múltiples vulnerabilidades en Pidgin


Escrito por Elio Enrique Almarza II
febrero 27, 2013

Se han publicado varias vulnerabilidades que afectan al popular cliente de mensajería instantánea Pidgin y podrían permitir la manipulación de datos, causar una denegación de servicio y ejecutar código arbitrario de forma remota.

Pidgin es un programa de mensajería instantánea multicuenta y multiprotocolo distribuido bajo licencia GNU GPL. Permite por tanto conectarse de manera simultánea a varios servicios de mensajería como AIM, MSN, Jabber, Gtalk o ICQ entre otros.

Las vulnerabilidades son las siguientes:

* Un error en el protocolo MXit al guardar imágenes podría ser aprovechado para sobrescribir determinados ficheros del sistema afectado. Ha sido descubierta por Chris Wysopal de Veracode y se le ha asignado el identificador CVE-2013-0271.

* Un error de comprobación de límites al procesar cabeceras http entrantes, en la función 'mxit_cb_http_read' localizada en el fichero 'libpurple/protocols/mxit/http.c' que podría utilizarse para lograr la ejecución de código arbitrario (CVE-2013-0272).

* Un error en la función 'mw_prpl_normalize' (en 'libpurple/protocols/sametime/sametime.c') al procesar identificadores de usuario (user ID) de longitud superior a 4096 bytes podría emplearse para provocar una denegación de servicio. Su identificador es CVE-2013-0273.

* Múltiples errores en las funciones 'upnp_parse_description_cb', 'purple_upnp_discover_send_broadcast', 'looked_up_public_ip_cb', 'looked_up_internal_ip_cb', 'purple_upnp_set_port_mapping()', y 'purple_upnp_remove_port_mapping' cuando procesan peticiones UPnP podrían causar una denegación de servicio (CVE-2013-0274).

Las tres últimas vulnerabilidades han sido descubiertas por el equipo de Coverity Static Analysis (CSA).

La versión de Pidgin 2.10.7, que corrige todos los errores anteriormente descritos, se encuentra disponible para su descarga desde el sitio oficial. http://www.pidgin.im

  Foto: Archivo

Las noticias más vistas de hoy

22
jul

Cerca de las once de la mañana de ayer, fue asesinado Rafael Eduardo Castillo, de 51 años de edad, mientras se encontraba caminando por la calle 31 con carrera 21 y 22, en pleno centro de la ciudad

22
jul

Este martes el Gobierno nacional inició el desalojo de la "Torre de David", el rascacielo más alto de Caracas, y en el que se alojaban más de mil familias. El ministro para la transformación revolucionaria de Caracas, Ernesto Villegas informó que el proceso comenzó con más de 100 familias

22
jul

El Ministerio Público acusó a 20 personas por su presunta vinculación con la obtención y uso ilegal de divisas otorgadas por la extinta Comisión de Administración de Divisas (Cadivi), entre los años 2011 y 2013

23
jul

Estos son los obituarios del día 23 de Julio de 2014 #Obituarios

22
jul

Una nueva situación irregular se registró este martes en la Urbanización La Pastoreña, que la semana pasada fue escenario de fuertes enfrentamientos entre vecinos y ocupantes de los terrenos aledaños al urbanismo y que terminó con la vida de dos personas, entre ellos un menor de edad

21
jul

El amor no entiende de edad. Eso es lo que debieron pensar hace un año Saneie Masilela (un niño de apenas 9 años) y Helen Shabangu (de 62) cuando se casaron en Sudáfrica. Sin embargo, parece que su amor no se ha evaporado 365 días después ya que, como dictan las tradiciones del país, la pareja ha renovado hace pocos días sus votos en Mpumalanga

© 1998 - 2014 C.A. EL IMPULSO | J-00012371-3

Barquisimeto - Venezuela - Todos los derechos reservados