VULHUB ™

Bugtraq ID: 49268 CVE ID：CVE-2011-2943 Pidgin是一款多协议即时通信软件。 Pidgin存在安全漏洞，允许恶意攻击者进行拒绝服务或任意代码执行攻击。 1)当处理昵称中包含特殊字符的WHO应答时IRC协议插件存在错误，可被利用触发空指针引用。 2)解析HTTP 100应答时MSN协议插件存在错误，可被利用使应用程序崩溃。 成功利用漏洞需要HTTP连接方法启用(默认禁用)并使用恶意服务器。 3)Pidgin支持IM会话中使用URL处理器，windows平台下直接把URL提交给ShellExecute API，并以当前用户运行。当通过file:// URL传递，放在WEBDAV/SMB共享上的恶意可执行文件可被装载并执行。 Pidgin 2.x 厂商解决方案 Pidgin 2.10.0已经修复此漏洞，建议用户下载使用： http://pidgin.im/

Bugtraq ID: 49268 CVE ID：CVE-2011-2943 Pidgin是一款多协议即时通信软件。 Pidgin存在安全漏洞，允许恶意攻击者进行拒绝服务或任意代码执行攻击。 1)当处理昵称中包含特殊字符的WHO应答时IRC协议插件存在错误，可被利用触发空指针引用。 2)解析HTTP 100应答时MSN协议插件存在错误，可被利用使应用程序崩溃。 成功利用漏洞需要HTTP连接方法启用(默认禁用)并使用恶意服务器。 3)Pidgin支持IM会话中使用URL处理器，windows平台下直接把URL提交给ShellExecute API，并以当前用户运行。当通过file:// URL传递，放在WEBDAV/SMB共享上的恶意可执行文件可被装载并执行。 Pidgin 2.x 厂商解决方案 Pidgin 2.10.0已经修复此漏洞，建议用户下载使用： http://pidgin.im/