Oprogramowanie

Gadu-Gadu: poważna luka w zabezpieczeniach

opublikowano przez w dniu 2011-05-25

Wszyscy korzystający z najpopularniejszego polskiego komunikatora muszą być teraz nieco bardziej ostrożni - odkryto błąd umożliwiający przejęcie kontroli nad komputerem.

Na stronie seclists.org Kacper Szczęśniak opublikował opis dziury odnalezionej w Gadu-Gadu. Całość opiera się na prostym kodzie, który umożliwi na automatyczne zapisanie dowolnego pliku na dysku ofiary i uruchomienie go. Może to być trojan, keylogger czy dowolny inny złośliwy program.

Na szczęście skryptu nie wystarczy wkleić do okienka rozmowy. Luka to system przesyłania plików wbudowany w Gadu-Gadu. Nazwa takiego obiektu może mieć 255 znaków, co pozwala na stworzenie wystarczająco skutecznego skryptu JavaScript, żeby przejąć interfejs programu. Opcja wysyłania obiektów działa tylko na znajomych z listy, warto więc mieć się na baczności i póki co nie dodawać do niej obcych.

Wbudowane mechanizmy obronne nie radzą sobie z kodem JS, a luka działa we wszystkich wersjach oryginalnego komunikatora. Możliwość zapisania i uruchomienia dowolnego pliku bez interakcji ze strony atakowanego użytkownika to poważna usterka. Warto więc pomyśleć o przynajmniej chwilowej zmianie komunikatora na inny program obsługujący protokół Gadu-Gadu, jak Miranda, Jabber czy coraz popularniejsze WTW.

Więcej o ostatnich niebezpiecznych lukach:

Źródło: Niebezpiecznik

marketplace

Komentarze

42
Zaloguj się, żeby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    AQQ rządzi !: D
  • avatar
    g jak .....
  • avatar
    gówno!
  • avatar
    Pozbyłem się GG gdy wyszła jej bodajże 10 wersja. AQQ RLZ ;p
    Zaloguj się
  • avatar
    WTW najlepsze, żadnych dźwięków, pierdół, reklam - miodzio :]
    Zaloguj się
  • avatar
    Jak GG zaczęło zajmować w pamięci więcej niż jądro WinXP wywaliłem je w cholerę. Miranda w wersji minimal i jest miodzio :)
    Zaloguj się
  • avatar
    GG 7.7.0 i nie ma bata.
    Zaloguj się
  • avatar
    GG , jest całe do dupy , nie dość że to kombajn załadowany spamem , to ma jeszcze kilka innych luk . Wystarczy Sniffer
  • avatar
    Jak dla mnie AQQ w 100% jest lepszy od gg 10 chyba ze ktos korzysta z gg air
  • avatar
    Ja tam lubię Palringo ;)
  • avatar
    AQQ jest lepsze. GG od wersji 8.x jet tak zryte jak to tylko możliwe.

    Już dawno go wywaliłem u siebie i naciągnąłem siostrę i kolegów - przestały mulić się komputery,mniej wirusów itp.
  • avatar
    Miranda i tylko Miranda. Jedyny minus Mirandy jak dla mnie to brak wersji na Linuksa;)
  • avatar
    GG nie używam od ok. 3 lat. AQQ mi pasuje ;)
  • avatar
    GG Lite ;]
  • avatar
    Ja polecam mirande, tez jest super.
  • avatar
    GG było dobre do wersji 7, potem to porażka. Puki co AQQ najlepsze dla mnie.
    Zaloguj się
  • avatar
    Ja polecam wtw!
  • avatar
    luka i reklamy się nie wyświetlają poważny problem.
    Zaloguj się
  • avatar
    GG zawsze piszę po przegranej walce w starcrafta. Bardzo użyteczna formuła.
  • avatar
    pidgin
  • avatar
    AQQ FTW!!!
  • avatar
    To teraz po zjechaniu gg powiedzcie mi, czy jest inny program, który posiada PEŁNE wsparcie rozmów konferencyjnych z gg? Co próbuje jakiegoś to czegoś mu brakuje W AQQ na przykład zeby stworzyc konferencje trzeba sie dosc namachac myszka, i to za kazdym razem jak chce pogadac nawet z tymi samymi osobami, a bodajze w WTW nie ma archiwum do konferek. gg no re