Pidgin es uno de los clientes de mensajería instantánea más populares en el ecosistema de Software Libre, tiene entre sus características principales la ventaja de ser multiprotocolo, Pidgin es muy popular para acceder a servicios tales como los chat de Facebook y Gmail (sobre todo para los que no tienen ancho de banda), los desarrolladores de Pidgin acaban de lanzar la versión 2.10.8 donde se han solucionado 15 vulnerabilidades.
Las vulnerabilidades son las siguientes:
- CVE-2014-0020: Denegación de servicio a través de mensajes IRC con argumentos manipulados.
- CVE-2013-6490: Desbordamiento de memoria intermedia a través de una cabecera SIMPLE con Content-Length negativo.
- CVE-2013-6489: Desbordamiento de memoria intermedia a través de un emoticono Mxit manipulado.
- CVE-2013-6487: Desbordamiento de memoria intermedia en Gadu-Gadu.
- CVE-2013-6486: Ejecución de ficheros no confiables al hacer click en URIs file://.
- CVE-2013-6485: Desbordamiento de memoria intermedia al procesar respuestas HTTP de tipo ‘Chunked Transfer-Encoding’.
- CVE-2013-6484: Denegación de servicio a través de respuestas manipuladas de un servidor STUN.
- CVE-2013-6483: Referencia a puntero nulo en XMPP a través de respuestas ‘iq’ con origen manipulado.
- CVE-2013-6482: Múltiples referencias a puntero Nulo en MSN.
- CVE-2013-6481: Denegación de servicio en el plugin del protocolo Yahoo! al leer fuera de límites de un mensaje P2P.
- CVE-2013-6479: Denegación de servicio a través de respuestas HTTP manipuladas.
- CVE-2013-6478: Denegación de servicio al mostrar URLs demasiado grandes en una ventana de tipo ‘tooltip’.
- CVE-2013-6477: Denegación de servicio a través de mensajes XMPP con marcas de tiempo manipuladas.
- CVE-2012-6152: Denegación de servicio en el plugin del protocolo Yahoo! al procesar cadenas con codificación distinta a UTF-8.
- Denegación de servicio en el renderizado de algunos caracteres Unicode.
Fuente: http://unaaldia.hispasec.com/2014/02/multiples-vulnerabilidades-en-pidgin.html
¿Te resultó interesante? Compártelo ...
ahora mismo download
mmmm me parece que esta noticia es vieja pues acabo de entrar a http://www.pidgin.im y esta la version 2.10.9
Compadre estas un poco extremista, en el artículo habla de la versión 2.10.8 y la descarga oficial es la 2.10.9, los cambios debes ser mínimos, la noticia la tenia escrita desde la semana pasada y no había tenido tiempo de publicarla.
No es tan extremista, lo que pasa es que me busque los changelog de pidgin veo que han mejorado dastricamente en la 2.10.9 la comunicacion del xmpp utilizando los certificados SSL…