اكتشف مختبر CoreSecuirty وجود ثغرة في برنامج المحادثة الفورية Pidgin أصابت الاصدار 2.5.8 وجميع الاصدارات السابقة. يعود سبب الثغرة لخطأ برمجي في مكتبة libpurple التي يعتمد عليها برنامج بيدجن وغيره من برامج المحادثة الفورية الأخرى في عملهم مثل Finch, Meebo و Adium.

Pidgin

 

يعتبر Pidgin البرنامج الأساسي للمحادثة الفورية في أغلب توزيعات نظام لينوكس كما يتوفّر من اصدار للعديد من الأنظمة الأخرى من ضمنها ويندوز.

يعتمد البرنامج في عمله على مكتبة libpurple المسؤولة عن التعامل مع بروتوكولات المحادثة الفورية المختلفة مثل MSN , Yahoo , Jabber , IRC , ICQ وغيرهم الكثير… كما تعتمد بعض برامج المحادثة الفورية الأخرى في عملها على مكتبة libpurple مثل برنامج Adium الخاص بنظام Mac OS X و Instantbird و غيرهم

يعود سبب الثغرة لخطأ برمجي في الدالة msn_slplink_process_msg المستخدمة عند التواصل مع شبكة MSN حيث يقوم المهاجم بارسال حزمة MSNSLP مزيّفة عن طريق سيرفر MSN لتستغل الخطأ البرمجي في الدالة السابقة مما يؤدي لطفح في الذاكرة والتحكم بمجرى تنفيذ البرنامج فيتمكّن المهاجم من تشغيل Shellcode واختراق الجهاز مع العلم أن استغلال الثغرة لا يتطلّب أي تفاعل من المستخدم ولا يشترط أن يكون المهاجم موجود ضمن قائمة الأصداقاء في برنامج Pidgin.

أصابت الثغرة الاصدار 2.5.8 من مكتبة libpurple وجميع الاصدارات السابقة, فريق تطوير Pidgin ومكتبة libpurple أصدروا تحديث لاصلاح الثغرة يمكن تحميله من موقع Pidgin كما يمكن تحديث البرنامج باستخدام نظام الحزم الموجود في توزيعات لينوكس. لكن حتى تاريخ كتابة هذا الخبر بعض التوزيعات مثل Fedora لم يوفّروا التحديث عن طريق مدير الحزم بعد!

 

كحل مؤقّت نحن ننصح بتعديل خيارات برنامج Pidgin الافتراضية لعدم قبول أي رسائل الا من الأشخاص الموجودين في قائمة الأصدقاء (اذا كانوا محل ثقة) أو تحميل التحديث من موقع البرنامج عوضاً عن الاعتماد على مدير الحزم.

 

لمزيد من المعلومات: Corelabs

 

تحديث 9 سيبتمبر: انتشر استغلال خطير لهذه الثغرة يمكّن المهاجم من تنفيذ أوامر على النظام واختراقه عن بعد, يمكن أن تجدونه هنا.

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn