Несколько уязвимостей в Trillian

Дата публикации:
01.05.2007
Дата изменения:
04.05.2007
Всего просмотров:
2118
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2007-2418
CVE-2007-2478
CVE-2007-2479
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Trillian Basic 3.x
Trillian Pro 3.x
Уязвимые версии:
Trillian Pro 3.1, возможно более ранние версии.
Trillian Basic 3.1, возможно более ранние версии.

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к важным данным и выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за ошибки в операции копирования в окне IRC сообщения (при выделении текста). Удаленный пользователь может с помощью слишком длинного URL, состоящего из UTF-8 символов, вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки в IRC модуле при обработке сообщений, содержащих font face HTML тег с слишком длинным атрибутом face, состоящем из UTF-8 строки. Удаленный пользователь может с помощью специально сформированного сообщения вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

3. Уязвимость существует из-за ошибки при обработке CTCP PING сообщений, содержащих UTF-8 символы. Злоумышленник может заставить клиент вернуть специально сформированный ответ с отсутствующим символом терминирования новой строки, что позволит отправить текст сообщения атакующему вместо сервера.

4. Уязвимость существует из-за ошибки в системе сообщений Rendezvous / XMPP (Extensible Messaging and Presence Protocol). Удаленный пользователь может послать специально сформированное сообщение на порт 5298/TCP, вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

URL производителя: www.ceruleanstudios.com

Решение: Установите последнюю версию (3.5.1.0) с сайта производителя.
www.ceruleanstudios.com/downloads/

Ссылки: Cerulean Studios Trillian Multiple IRC Vulnerabilities
Trillian Pro Rendezvous XMPP HTML Decoding Heap Corruption Vulnerability

или введите имя

CAPTCHA