Security Lab

Множественные уязвимости в Gadu-Gadu

Дата публикации:24.11.2005
Всего просмотров:2601
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2005-3887
CVE-2005-3888
CVE-2005-3889
CVE-2005-3890
CVE-2005-3891
CVE-2005-3892
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
Раскрытие важных данных
Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Gadu-Gadu 7.x
Уязвимые версии: Gadu-Gadu 7.20 и более ранние версии

Описание:
Уязвимости позволяют удаленному пользователю вызвать отказ в обслуживании и получить доступ к важным данным.

1. Обнаружена ошибка при обработке имен файлов во время трансфера. Удаленный пользователь может послать графическое изображение со специально сформированным именем файла (например, AUX) и заблокировать процесс, отвечающий за отправку сообщений.
Удаленный пользователь может также послать файл с именем LPT: и отправить произвольное содержимое на принтер.

2. Обнаружена ошибка при обработке передаваемых графических файлов. Удаленный пользователь может послать специально сформированный файл, с длиной имени от 192 до 200 байт, что вызовет переполнение стека и позволит аварийно завершить работу приложения.

3. Уязвимость обнаружена при обработке DCC пакетов. Удаленный пользователь может с помощью специально сформированного запроса потребить большое количество ресурсов на системе.

4. Обнаружена ошибки в при обработке "gg:" URI. Удаленный пользователь может с помощью специально сформированной HTML страницы удалить конфигурацию целевого пользователя.

5. Небезопасная обработки данных в ActiveX компоненте "EasycallLite.oce". Удаленный пользователь может с помощью специально сформированного web сайта сделать исходящие звонки.

URL производителя: www.gadu-gadu.pl

Решение: Установите последнюю версию (7.22) с сайта производителя.

Источник:

Ссылки: Gadu-Gadu instant messenger several vulnerabilities