Gadu-Gadu: poważna luka w zabezpieczeniach

Wszyscy korzystający z najpopularniejszego polskiego komunikatora muszą być teraz nieco bardziej ostrożni - odkryto błąd umożliwiający przejęcie kontroli nad komputerem.Na stronie seclists.org Kacper Szczęśniak opublikował opis dziury odnalezionej w Gadu-Gadu. Całość opiera się na prostym kodzie, który umożliwi na automatyczne zapisanie dowolnego pliku na dysku ofiary i uruchomienie go. Może to być trojan, keylogger czy dowolny inny złośliwy program.Na szczęście skryptu nie wystarczy wkleić do okienka rozmowy. Luka to system przesyłania plików wbudowany w Gadu-Gadu. Nazwa takiego obiektu może mieć 255 znaków, co pozwala na stworzenie wystarczająco skutecznego skryptu JavaScript, żeby przejąć interfejs programu. Opcja wysyłania obiektów działa tylko na znajomych z listy, warto więc mieć się na baczności i póki co nie dodawać do niej obcych.Wbudowane mechanizmy obronne nie radzą sobie z kodem JS, a luka działa we wszystkich wersjach oryginalnego komunikatora. Możliwość zapisania i uruchomienia dowolnego pliku bez interakcji ze strony atakowanego użytkownika to poważna usterka. Warto więc pomyśleć o przynajmniej chwilowej zmianie komunikatora na inny program obsługujący protokół Gadu-Gadu, jak Miranda, Jabber czy coraz popularniejsze WTW.Więcej o ostatnich niebezpiecznych lukach: Android naraża na atak 99,7% użytkowników Microsoft - 1 na 14 plików to trojan PSN: Luka w systemie zmiany haseł