Total Security - www.totalsecurity.com.br
Trillian 3.1.6.0 corrige falha de segurança
A Cerulean Studios tornou disponível para download ontem (18/06) a versão 3.1.6.0 do Trillian. Ela corrige uma falha grave encontrada pela Blurred Logic no processamento de mensagens em UTF-8 e permite que uma mensagem maliciosa cause um erro na alocação de memória, o que poderia permitir que uma simples mensagem causasse a execução de código ou instalação de vírus no sistema. O Trillian é um comunicador que permite o uso de várias redes de mensagem instantânea num mesmo programa.
De acordo com a iDefense, que publicou um informativo sobre a brecha, a implementação do MSN no Trillian é a mais vulnerável, mas a empresa não descarta a possibilidade de que outros protocolos também podem ser explorados. A atualização é recomendada para todos os usuários do mensageiro instantâneo.
UTF-8 é um padrão de codificação que permite aos programas converter números em texto. Computadores trabalham apenas com números (zero e um) e portanto precisam dos padrões de codificação para determinarem qual letra deve ser exibida para um certo número. Mensagens que usarem UTF-8, ou seja, que forçarem o Trillian a decodificá-las com UTF-8, causam um erro no programa que pode ser explorado por crackers.
A iDefense recebeu as informações da brecha por meio do seu programa VCP — Vulnerability Contributor Program. O VCP paga pesquisadores de segurança pelas brechas que eles encontram e é fonte de certa controvérsia. A iDefense não revelou informações sobre a falha até ontem, quando a atualização foi publicada.
Download para correção: http://www.ceruleanstudios.com/downloads/
Fonte: Linha Defensiva
De acordo com a iDefense, que publicou um informativo sobre a brecha, a implementação do MSN no Trillian é a mais vulnerável, mas a empresa não descarta a possibilidade de que outros protocolos também podem ser explorados. A atualização é recomendada para todos os usuários do mensageiro instantâneo.
UTF-8 é um padrão de codificação que permite aos programas converter números em texto. Computadores trabalham apenas com números (zero e um) e portanto precisam dos padrões de codificação para determinarem qual letra deve ser exibida para um certo número. Mensagens que usarem UTF-8, ou seja, que forçarem o Trillian a decodificá-las com UTF-8, causam um erro no programa que pode ser explorado por crackers.
A iDefense recebeu as informações da brecha por meio do seu programa VCP — Vulnerability Contributor Program. O VCP paga pesquisadores de segurança pelas brechas que eles encontram e é fonte de certa controvérsia. A iDefense não revelou informações sobre a falha até ontem, quando a atualização foi publicada.
Download para correção: http://www.ceruleanstudios.com/downloads/
Fonte: Linha Defensiva
URL Fonte: http://www.totalsecurity.com.br/noticia/1872/visualizar/
Comentários