Risques

  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

gaim versions 1.0.1 et antérieures.

Résumé

De multiples vulnérabilités présentes dans gaim permettent à un utilisateur distant mal intentionné d'exécuter du code arbitraire à distance ou réaliser un déni de service sur le poste client vulnérable.

Description

gaim est un client de messagerie instantanée multi-protocoles (ICQ, MSN Messenger, Yahoo!, IRC, Jabber, AIM, ...).

MSNSLP est un protocole utilisé par le logiciel de messagerie instantanée MSN Messenger.

Une vulnérabilité de type débordement de mémoire est présente dans une des routines traitant les messages au format MSNSLP. Par le biais de messages habilement constitués, un utilisateur distant mal intentionné peut exécuter du code arbitraire à distance sur un client gaim vulnérable.

Deux autres vulnérabilités pouvant entrainer un déni de service par arrêt brutal de l'application sont également présente dans gaim.

Solution

La version 1.0.2 de gaim corrige ces vulnérabilités.

Documentation