| ثغرة في برنامج Pidgin 2.5.8 يمكن استغلالها عن بعد |
| الكاتب عبدالمهيمن الآغا |
| الخميس, 20 أغسطس 2009 20:58 |
|
اكتشف مختبر CoreSecuirty وجود ثغرة في برنامج المحادثة الفورية Pidgin أصابت الاصدار 2.5.8 وجميع الاصدارات السابقة. يعود سبب الثغرة لخطأ برمجي في مكتبة libpurple التي يعتمد عليها برنامج بيدجن وغيره من برامج المحادثة الفورية الأخرى في عملهم مثل Finch, Meebo و Adium.
يعتبر Pidgin البرنامج الأساسي للمحادثة الفورية في أغلب توزيعات نظام لينوكس كما يتوفّر من اصدار للعديد من الأنظمة الأخرى من ضمنها ويندوز. يعتمد البرنامج في عمله على مكتبة libpurple المسؤولة عن التعامل مع بروتوكولات المحادثة الفورية المختلفة مثل MSN , Yahoo , Jabber , IRC , ICQ وغيرهم الكثير... كما تعتمد بعض برامج المحادثة الفورية الأخرى في عملها على مكتبة libpurple مثل برنامج Adium الخاص بنظام Mac OS X و Instantbird و غيرهم... يعود سبب الثغرة لخطأ برمجي في الدالة msn_slplink_process_msg المستخدمة عند التواصل مع شبكة MSN حيث يقوم المهاجم بارسال حزمة MSNSLP مزيّفة عن طريق سيرفر MSN لتستغل الخطأ البرمجي في الدالة السابقة مما يؤدي لطفح في الذاكرة والتحكم بمجرى تنفيذ البرنامج فيتمكّن المهاجم من تشغيل Shellcode واختراق الجهاز مع العلم أن استغلال الثغرة لا يتطلّب أي تفاعل من المستخدم ولا يشترط أن يكون المهاجم موجود ضمن قائمة الأصداقاء في برنامج Pidgin. أصابت الثغرة الاصدار 2.5.8 من مكتبة libpurple وجميع الاصدارات السابقة, فريق تطوير Pidgin ومكتبة libpurple أصدروا تحديث لاصلاح الثغرة يمكن تحميله من موقع Pidgin كما يمكن تحديث البرنامج باستخدام نظام الحزم الموجود في توزيعات لينوكس. لكن حتى تاريخ كتابة هذا الخبر بعض التوزيعات مثل Fedora لم يوفّروا التحديث عن طريق مدير الحزم بعد!
كحل مؤقّت نحن ننصح بتعديل خيارات برنامج Pidgin الافتراضية لعدم قبول أي رسائل الا من الأشخاص الموجودين في قائمة الأصدقاء (اذا كانوا محل ثقة) أو تحميل التحديث من موقع البرنامج عوضاً عن الاعتماد على مدير الحزم.
لمزيد من المعلومات: Corelabs
تحديث 9 سيبتمبر: انتشر استغلال خطير لهذه الثغرة يمكّن المهاجم من تنفيذ أوامر على النظام واختراقه عن بعد, يمكن أن تجدونه هنا. التعليقات (6)
  أرسلت بواسطة: Moh-Ec$perT في August 21, 2009
استعملت هذا البرنامج منذ فترة ثم استغنيت عنه لكثرة المشاكل التي تحدث بين الفينة و الأخرى
بصراحة فريق التطوير لم يقم بدوره اللازم
 أرسلت بواسطة: Mustafa Albazy في August 23, 2009
شباب الي يستخدم opensuse 11.1 يقدر يحدث pidgin للأصدار 2.6.1 من خلال تحميل الملف التالي
http://software.opensuse.org/ymp/home:sdrahn/openSUSE_11.1/pidgin.ymp وتشغيلة بواسطة yast واتباع الخطوات واذا كنت مشغل pidgin اعمل لة ريستارت ..
 أرسلت بواسطة: mrloong في September 11, 2009
الله يعطيكم العافيه انا بصراحه حاولت احدثه بس ما زبط معاي مع العلم النظام الي استخدمه Ubuntu 9.04
أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول. |
الشيء المزعج كمان كثرة التعليقات فية (في فيدورا, سوزي, ابونتو, ماندريفا) يعلق فيها بين وقت و وقت بدون سبب! .. ويمكن بقية التوزيعات نفس الامر.
عن نفسي اتمنى يكون في اهتمام اكثر من قبل فريق التطوير الخاص بة. لان كما ذكرت انت في الخبر هو يعتبر البرنامج الاساس في اغلب توزيعات لينكس خصوصاً التوزيعات الاكثر استخداماً.