用于加密即时消息传递客户端的软件组件有一个缺陷,可以让攻击者接管用户的机器,但现在有漏洞的补丁。
该漏洞包含在Libotr,适用于OTR消息传递库和工具包中。最新版本现在为4.1.1。
OTR.代表录制的消息传递。它是一个加扰通过客户端发送的消息的加密协议,包括Pidgin.那聊天和adium.。
德国公司Markus Vervier发现了整数溢出缺陷x41 d-sec,发布咨询。
“此缺陷可能会被远程攻击者利用,以导致堆缓冲区溢出,然后在用户的计算机上执行任意代码,”x41 d-sec写道。
该公司在手动代码审查期间找到了缺陷。它可以通过从一个客户端发送非常大的消息来利用另一个,这导致整数溢出,导致64位体系结构上的堆溢出,x41 d-sec写道。
发送的消息必须超过5.5 GB。这是巨大的,但是,otr允许发送由libotr组装的碎片化消息,然后是Libotr,它写道。
“向Pidgin客户端发送这样的消息在快速网络连接上只花了几分钟,而没有对用户的任何攻击的可见迹象,”它写道。
最新版本的libotr可以是下载了这里。