27
feb

Múltiples vulnerabilidades en Pidgin


Escrito por Elio Enrique Almarza II
febrero 27, 2013

Se han publicado varias vulnerabilidades que afectan al popular cliente de mensajería instantánea Pidgin y podrían permitir la manipulación de datos, causar una denegación de servicio y ejecutar código arbitrario de forma remota.

Pidgin es un programa de mensajería instantánea multicuenta y multiprotocolo distribuido bajo licencia GNU GPL. Permite por tanto conectarse de manera simultánea a varios servicios de mensajería como AIM, MSN, Jabber, Gtalk o ICQ entre otros.

Las vulnerabilidades son las siguientes:

* Un error en el protocolo MXit al guardar imágenes podría ser aprovechado para sobrescribir determinados ficheros del sistema afectado. Ha sido descubierta por Chris Wysopal de Veracode y se le ha asignado el identificador CVE-2013-0271.

* Un error de comprobación de límites al procesar cabeceras http entrantes, en la función 'mxit_cb_http_read' localizada en el fichero 'libpurple/protocols/mxit/http.c' que podría utilizarse para lograr la ejecución de código arbitrario (CVE-2013-0272).

* Un error en la función 'mw_prpl_normalize' (en 'libpurple/protocols/sametime/sametime.c') al procesar identificadores de usuario (user ID) de longitud superior a 4096 bytes podría emplearse para provocar una denegación de servicio. Su identificador es CVE-2013-0273.

* Múltiples errores en las funciones 'upnp_parse_description_cb', 'purple_upnp_discover_send_broadcast', 'looked_up_public_ip_cb', 'looked_up_internal_ip_cb', 'purple_upnp_set_port_mapping()', y 'purple_upnp_remove_port_mapping' cuando procesan peticiones UPnP podrían causar una denegación de servicio (CVE-2013-0274).

Las tres últimas vulnerabilidades han sido descubiertas por el equipo de Coverity Static Analysis (CSA).

La versión de Pidgin 2.10.7, que corrige todos los errores anteriormente descritos, se encuentra disponible para su descarga desde el sitio oficial. http://www.pidgin.im

  Foto: Archivo

Las noticias más vistas de hoy

29
jul

En horas de la madrugada del domingo Elicar Rebeca Chirinos, de 37 años fue asesinada, su cuerpo fue encontrado en la parte de atrás del modulo policial que se encuentra en el distribuidor Jirahara. Por esta muerte detuvieron a tres funcionarios de la Policía del estado Lara

29
jul

Efectivos de la Guardia Nacional en el momento del hecho resguardaron a las damas en su puesto, porque la familia de la víctima fatal estaba agresiva

29
jul

Aumenta la preocupación en el sector estudiantil de la Universidad Fermín Toro por la inesperada desaparición del estudiante de Ingeniería, de esa universidad, Rafael Sanoja, de quien no saben nada respecto a su ubicación desde el pasado viernes 25 de julio

29
jul

Polar emitió un comunicado alertando que la empresa “se enfrenta actualmente a un conjunto de situaciones que, si no se corrigen a la brevedad posible, harán insostenible la producción de Harina Precocida de Maíz, un alimento esencial en la dieta de los venezolanos”

29
jul

Cuando falta alrededor de una semana y media para la puesta en marcha de los canales preferenciales del transporte público, cuadrillas de la Autoridad Metropolitana de Transporte y Tránsito (AMTT) alistan demarcaciones e instalan señalizaciones en el corredor de la carrera 19

29
jul

El Ministerio Público logró privativa de libertad para el capitán de la Guardia Nacional Bolivariana, Eddys Omar Montero Mejías, y Elvia Mireya Niño Maldonado, quienes fueron detenidos el pasado 25 de julio en la parroquia El Paraíso, municipio Libertador del Distrito Capital, por presuntamente solicitar dinero a un grupo de personas para la adquisición de vehículos a través del programa estatal Venezuela Productiva Automotriz

© 1998 - 2014 C.A. EL IMPULSO | J-00012371-3

Barquisimeto - Venezuela - Todos los derechos reservados