Множественные уязвимости в Gadu-Gadu
- Дата публикации:
- 24.11.2005
- Всего просмотров:
- 2374
- Опасность:
- Средняя
- Наличие исправления:
- Да
- Количество уязвимостей:
- 1
- CVSSv2 рейтинг:
- CVE ID:
-
CVE-2005-3887
CVE-2005-3888
CVE-2005-3889
CVE-2005-3890
CVE-2005-3891
CVE-2005-3892 - Вектор эксплуатации:
- Удаленная
- Воздействие:
-
Отказ в обслуживании
Раскрытие важных данных
Обход ограничений безопасности - CWE ID:
- Нет данных
- Наличие эксплоита:
- Нет данных
- Уязвимые продукты:
- Gadu-Gadu 7.x
Описание:
Уязвимости позволяют удаленному пользователю вызвать отказ в обслуживании и получить доступ к важным данным.
1. Обнаружена ошибка при обработке имен файлов во время трансфера. Удаленный пользователь может послать графическое изображение со специально сформированным именем файла (например, AUX) и заблокировать процесс, отвечающий за отправку сообщений.
Удаленный пользователь может также послать файл с именем LPT: и отправить произвольное содержимое на принтер.
2. Обнаружена ошибка при обработке передаваемых графических файлов. Удаленный пользователь может послать специально сформированный файл, с длиной имени от 192 до 200 байт, что вызовет переполнение стека и позволит аварийно завершить работу приложения.
3. Уязвимость обнаружена при обработке DCC пакетов. Удаленный пользователь может с помощью специально сформированного запроса потребить большое количество ресурсов на системе.
4. Обнаружена ошибки в при обработке "gg:" URI. Удаленный пользователь может с помощью специально сформированной HTML страницы удалить конфигурацию целевого пользователя.
5. Небезопасная обработки данных в ActiveX компоненте "EasycallLite.oce". Удаленный пользователь может с помощью специально сформированного web сайта сделать исходящие звонки.
URL производителя: www.gadu-gadu.pl
Решение: Установите последнюю версию (7.22) с сайта производителя.
Источник:
Ссылки:
Gadu-Gadu instant messenger several vulnerabilities