Risques

  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

gaim versions antérieures à la 1.3.0.

Résumé

Deux vulnérabilités présentes dans gaim permettent à un utilisateur distant mal intentionné d'exécuter du code arbitraire à distance ou réaliser un déni de service sur le poste client vulnérable.

Description

gaim est un client de messagerie instantanée multi-protocoles (ICQ, MSN Messenger, Yahoo!, IRC, Jabber, AIM, ...).

Une vulnérabilité de type débordement de mémoire est présente lors du traitement d'URLS malicieusement constituées (CVE CAN-2005-161). En exploitant cette vulnérabilité, un utilisateur distant mal intentionné peut exécuter du code arbitraire à distance sur un client gaim vulnérable.

Une autre vulnérabilité (CVE CAN-2005-162) pouvant entrainer un déni de service par arrêt brutal de l'application est également présente dans gaim lors du traitement de certains messages MSNSLP (utilisé par le logiciel de messagerie instantanée MSN Messenger).

Solution

La version 1.3.0 de gaim corrige ces vulnérabilités.

Documentation