Bugtraq ID: 49268
CVE ID:CVE-2011-2943
Pidgin是一款多协议即时通信软件。
Pidgin存在安全漏洞,允许恶意攻击者进行拒绝服务或任意代码执行攻击。
1)当处理昵称中包含特殊字符的WHO应答时IRC协议插件存在错误,可被利用触发空指针引用。
2)解析HTTP 100应答时MSN协议插件存在错误,可被利用使应用程序崩溃。
成功利用漏洞需要HTTP连接方法启用(默认禁用)并使用恶意服务器。
3)Pidgin支持IM会话中使用URL处理器,windows平台下直接把URL提交给ShellExecute API,并以当前用户运行。当通过file:// URL传递,放在WEBDAV/SMB共享上的恶意可执行文件可被装载并执行。
Pidgin 2.x
厂商解决方案
Pidgin 2.10.0已经修复此漏洞,建议用户下载使用:
http://pidgin.im/
暂无评论