Af Torben B. Sørensen, 22/03/17
En sårbarhed i Libpurple lader angribere køre skadelige programmer. Pidgin, Adium og andre chatprogrammer er ramt.
Libpurple er et programmeringsbibliotek med chatfunktioner. En række chatklienter bruger det, heriblandt Adium til MacOS, Finch, Instantbird, Pidgin, Spectrum og Telepathy-Haze.
Sårbarheden gør det muligt at køre skadelig kode på klienten.
Udviklerne af Pidgin har lukket hullet med version 2.12.0. Derimod ser det ikke ud til, at det er lukket i Adium.
Sikkerhedsreporter Joseph Cox anbefaler, at man holder op med at bruge klienter baseret på Libpurple.
Anbefaling
Afvent sikkerhedsopdateringer eller skift til et andet chatprogram.
Links
- Code Execution Vulnerability Found in Libpurple IM Library, artikel fra Kaspersky Threatpost
- Adium vulnerable to remote code execution via libpurple
- Out-of-bounds write when stripping xml, Pidgin Security Advisory
- The sooner people move away from libpurple based XMPP clients, the better, Joseph Cox på Twitter