Sie sind nicht angemeldet.
Lieber Besucher, herzlich willkommen bei: Community-of-Darkness. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.
Mittwoch, 25. Februar 2004, 11:14
[SECURITY] Schwachstellen in Trillian
Schwachstellen in Instant Messenger Trillian
[25.02.2004 10:39]
Nach Angaben des Sicherheitsspezialisten Stefan Esser sind im Windows-Messaging-Client Trillian[1] zwei Schwachstellen vorhanden, mit denen sich über das Netzwerk beliebiger Code auf das System schleusen und ausführen lässt. Einer der Fehler ist allerdings nur über eine Man-in-the-Middle-Attacke auszunutzen -- in Unternehmensnetzen stellt dies in der Regel aber keine große Hürde dar.
Esser hatte die Lücken entdeckt, als er einen Exploit testete, der eigentlich Schwachstellen im Instant Messenger GAIM[2] ausnutzt. Dabei stellte sich heraus, dass zwei Fehler weitgehend identisch sind. Betroffen ist Trillian 0.71 bis 0.74f sowie Trillian Pro 1.0, 2.0 und 2.01. Cerulean Studios, Hersteller von Trillian, hat bereits Patches[3] zur Verfügung gestellt.
Eine Schwachstelle -- im Yahoo Packet Parser -- findet sich sowohl im freien GAIM[4] als auch in Trillian, da der gleiche Code verwendet wird. Esser weist im Security Advisory darauf hin, dass GAIM-Code eigentlich unter der GPL steht. Auf der Mailingliste Full Disclosure diskutiert man bereits, wie der Code seinen Weg in Trillian gefunden hat. Für Aufklärung sorgte aber der GAIM-Supportmanager Luke Schierer: Die Entwickler der beiden Projekte hätten Programmteile untereinander getauscht.
Siehe dazu auch:
Security Advisory[5] von Full Disclosure
(dab[6]/c't)
--------------------------------------------------------------------------------
URL dieses Artikels:
http://www.heise.de/newsticker/meldung/44973
Links in diesem Artikel:
[1] http://www.ceruleanstudios.com/
[2] http://www.heise.de/security/news/meldung/44025
[3] http://www.ceruleanstudios.com/downloads/
[4] https://sourceforge.net/projects/gaim/
[5] http://lists.netsys.com/pipermail/full-disclosure/2004-February/017766.html
[6] mailto:dab@ct.heise.de
ANmerkung: Patch direkt downloaden: http://cerulean.cachenetworks.com/trillian-v0.74-patch-g.exe
Bei mir funzte der ohne Probleme. Patch runterladen, Trillian aus, Patch instalieren, Trillian an
[25.02.2004 10:39]
Nach Angaben des Sicherheitsspezialisten Stefan Esser sind im Windows-Messaging-Client Trillian[1] zwei Schwachstellen vorhanden, mit denen sich über das Netzwerk beliebiger Code auf das System schleusen und ausführen lässt. Einer der Fehler ist allerdings nur über eine Man-in-the-Middle-Attacke auszunutzen -- in Unternehmensnetzen stellt dies in der Regel aber keine große Hürde dar.
Esser hatte die Lücken entdeckt, als er einen Exploit testete, der eigentlich Schwachstellen im Instant Messenger GAIM[2] ausnutzt. Dabei stellte sich heraus, dass zwei Fehler weitgehend identisch sind. Betroffen ist Trillian 0.71 bis 0.74f sowie Trillian Pro 1.0, 2.0 und 2.01. Cerulean Studios, Hersteller von Trillian, hat bereits Patches[3] zur Verfügung gestellt.
Eine Schwachstelle -- im Yahoo Packet Parser -- findet sich sowohl im freien GAIM[4] als auch in Trillian, da der gleiche Code verwendet wird. Esser weist im Security Advisory darauf hin, dass GAIM-Code eigentlich unter der GPL steht. Auf der Mailingliste Full Disclosure diskutiert man bereits, wie der Code seinen Weg in Trillian gefunden hat. Für Aufklärung sorgte aber der GAIM-Supportmanager Luke Schierer: Die Entwickler der beiden Projekte hätten Programmteile untereinander getauscht.
Siehe dazu auch:
Security Advisory[5] von Full Disclosure
(dab[6]/c't)
--------------------------------------------------------------------------------
URL dieses Artikels:
http://www.heise.de/newsticker/meldung/44973
Links in diesem Artikel:
[1] http://www.ceruleanstudios.com/
[2] http://www.heise.de/security/news/meldung/44025
[3] http://www.ceruleanstudios.com/downloads/
[4] https://sourceforge.net/projects/gaim/
[5] http://lists.netsys.com/pipermail/full-disclosure/2004-February/017766.html
[6] mailto:dab@ct.heise.de
ANmerkung: Patch direkt downloaden: http://cerulean.cachenetworks.com/trillian-v0.74-patch-g.exe
Bei mir funzte der ohne Probleme. Patch runterladen, Trillian aus, Patch instalieren, Trillian an
