You are not logged in.
Dear visitor, welcome to Community-of-Darkness. If this is your first visit here, please read the Help. It explains how this page works. You must be registered before you can use all the page's features. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.
Wednesday, February 25th 2004, 11:14am
[SECURITY] Schwachstellen in Trillian
Schwachstellen in Instant Messenger Trillian
[25.02.2004 10:39]
Nach Angaben des Sicherheitsspezialisten Stefan Esser sind im Windows-Messaging-Client Trillian[1] zwei Schwachstellen vorhanden, mit denen sich über das Netzwerk beliebiger Code auf das System schleusen und ausführen lässt. Einer der Fehler ist allerdings nur über eine Man-in-the-Middle-Attacke auszunutzen -- in Unternehmensnetzen stellt dies in der Regel aber keine große Hürde dar.
Esser hatte die Lücken entdeckt, als er einen Exploit testete, der eigentlich Schwachstellen im Instant Messenger GAIM[2] ausnutzt. Dabei stellte sich heraus, dass zwei Fehler weitgehend identisch sind. Betroffen ist Trillian 0.71 bis 0.74f sowie Trillian Pro 1.0, 2.0 und 2.01. Cerulean Studios, Hersteller von Trillian, hat bereits Patches[3] zur Verfügung gestellt.
Eine Schwachstelle -- im Yahoo Packet Parser -- findet sich sowohl im freien GAIM[4] als auch in Trillian, da der gleiche Code verwendet wird. Esser weist im Security Advisory darauf hin, dass GAIM-Code eigentlich unter der GPL steht. Auf der Mailingliste Full Disclosure diskutiert man bereits, wie der Code seinen Weg in Trillian gefunden hat. Für Aufklärung sorgte aber der GAIM-Supportmanager Luke Schierer: Die Entwickler der beiden Projekte hätten Programmteile untereinander getauscht.
Siehe dazu auch:
Security Advisory[5] von Full Disclosure
(dab[6]/c't)
--------------------------------------------------------------------------------
URL dieses Artikels:
http://www.heise.de/newsticker/meldung/44973
Links in diesem Artikel:
[1] http://www.ceruleanstudios.com/
[2] http://www.heise.de/security/news/meldung/44025
[3] http://www.ceruleanstudios.com/downloads/
[4] https://sourceforge.net/projects/gaim/
[5] http://lists.netsys.com/pipermail/full-disclosure/2004-February/017766.html
[6] mailto:dab@ct.heise.de
ANmerkung: Patch direkt downloaden: http://cerulean.cachenetworks.com/trillian-v0.74-patch-g.exe
Bei mir funzte der ohne Probleme. Patch runterladen, Trillian aus, Patch instalieren, Trillian an
[25.02.2004 10:39]
Nach Angaben des Sicherheitsspezialisten Stefan Esser sind im Windows-Messaging-Client Trillian[1] zwei Schwachstellen vorhanden, mit denen sich über das Netzwerk beliebiger Code auf das System schleusen und ausführen lässt. Einer der Fehler ist allerdings nur über eine Man-in-the-Middle-Attacke auszunutzen -- in Unternehmensnetzen stellt dies in der Regel aber keine große Hürde dar.
Esser hatte die Lücken entdeckt, als er einen Exploit testete, der eigentlich Schwachstellen im Instant Messenger GAIM[2] ausnutzt. Dabei stellte sich heraus, dass zwei Fehler weitgehend identisch sind. Betroffen ist Trillian 0.71 bis 0.74f sowie Trillian Pro 1.0, 2.0 und 2.01. Cerulean Studios, Hersteller von Trillian, hat bereits Patches[3] zur Verfügung gestellt.
Eine Schwachstelle -- im Yahoo Packet Parser -- findet sich sowohl im freien GAIM[4] als auch in Trillian, da der gleiche Code verwendet wird. Esser weist im Security Advisory darauf hin, dass GAIM-Code eigentlich unter der GPL steht. Auf der Mailingliste Full Disclosure diskutiert man bereits, wie der Code seinen Weg in Trillian gefunden hat. Für Aufklärung sorgte aber der GAIM-Supportmanager Luke Schierer: Die Entwickler der beiden Projekte hätten Programmteile untereinander getauscht.
Siehe dazu auch:
Security Advisory[5] von Full Disclosure
(dab[6]/c't)
--------------------------------------------------------------------------------
URL dieses Artikels:
http://www.heise.de/newsticker/meldung/44973
Links in diesem Artikel:
[1] http://www.ceruleanstudios.com/
[2] http://www.heise.de/security/news/meldung/44025
[3] http://www.ceruleanstudios.com/downloads/
[4] https://sourceforge.net/projects/gaim/
[5] http://lists.netsys.com/pipermail/full-disclosure/2004-February/017766.html
[6] mailto:dab@ct.heise.de
ANmerkung: Patch direkt downloaden: http://cerulean.cachenetworks.com/trillian-v0.74-patch-g.exe
Bei mir funzte der ohne Probleme. Patch runterladen, Trillian aus, Patch instalieren, Trillian an
