Publicaron una nueva versión del popular cliente de mensajería instantánea Pidgin, que soluciona problemas y múltiples errores de seguridad.

Pidgin es un programa de mensajería instantánea multicuenta y multiprotocolo distribuido bajo licencia GNU GPL. Permite por tanto conectarse de manera simultánea a varios servicios de mensajería como AIM, MSN, Jabber, Gtalk o ICQ entre otros. 
 
Las vulnerabilidades son las siguientes: 
 
* CVE-2014-0020: Denegación de servicio a través de mensajes IRC con argumentos manipulados. 
    
* CVE-2013-6490: Desbordamiento de memoria intermedia a través de una cabecera SIMPLE con Content-Length negativo. 
    
* CVE-2013-6489: Desbordamiento de memoria intermedia a través de un emoticono Mxit manipulado. 
    
* CVE-2013-6487: Desbordamiento de memoria intermedia en Gadu-Gadu. 
    
* CVE-2013-6486: Ejecución de ficheros no confiables al hacer click en URIs file://. 
     
* CVE-2013-6485: Desbordamiento de memoria intermedia al procesar respuestas HTTP de tipo ‘Chunked Transfer-Encoding’. 
     
* CVE-2013-6484: Denegación de servicio a través de respuestas manipuladas de un servidor STUN. 
     
* CVE-2013-6483: Referencia a puntero nulo en XMPP a través de respuestas ‘iq’ con origen manipulado. 
    
* CVE-2013-6482: Múltiples referencias a puntero Nulo en MSN. 
    
* CVE-2013-6481: Denegación de servicio en el plugin del protocolo Yahoo! al leer fuera de límites de un mensaje P2P. 
     
* CVE-2013-6479: Denegación de servicio a través de respuestas HTTP manipuladas. 
     
* CVE-2013-6478: Denegación de servicio al mostrar URLs demasiado grandes en una ventana de tipo ‘tooltip’. 
    
* CVE-2013-6477: Denegación de servicio a través de mensajes XMPP con marcas de tiempo manipuladas. 
     
* CVE-2012-6152: Denegación de servicio en el plugin del protocolo Yahoo! al procesar cadenas con codificación distinta a UTF-8. 
    
* Denegación de servicio en el renderizado de algunos caracteres Unicode. 
 

Todos los fallos se han solucionado en la versión 2.10.8. 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2014/02/multiples-vulnerabilidades-en-pidgin.html#comments
 
Más información:
 
Remotely triggerable crash in IRC argument parsing
http://www.pidgin.im/news/security/?id=85
 
Buffer overflow in SIMPLE header parking
http://www.pidgin.im/news/security/?id=84
 
Buffer overflow in MXit emoticon parsing
http://www.pidgin.im/news/security/?id=83
 
Buffer overflow in Gadu-Gadu HTTP parsing
http://www.pidgin.im/news/security/?id=82
 
Pidgin uses clickable links to untrusted executables
http://www.pidgin.im/news/security/?id=81
 
Buffer overflow parsing chunked HTTP responses
http://www.pidgin.im/news/security/?id=80
 
Crash reading response from STUN server
http://www.pidgin.im/news/security/?id=79
 
XMPP doesn’t verify ‘from’ on some iq replies
http://www.pidgin.im/news/security/?id=78
 
NULL pointer dereference parsing SOAP data in MSN
http://www.pidgin.im/news/security/?id=77
 
NULL pointer dereference parsing OIM data in MSN
http://www.pidgin.im/news/security/?id=76
 
NULL pointer dereference parsing headers in MSN
http://www.pidgin.im/news/security/?id=75
 
Remote crash reading Yahoo! P2P message
http://www.pidgin.im/news/security/?id=74
 
Remote crash parsing HTTP responses
http://www.pidgin.im/news/security/?id=73
 
Crash when hovering pointer over a long URL
http://www.pidgin.im/news/security/?id=72
 
Crash handling bad XMPP timestamp
http://www.pidgin.im/news/security/?id=71
 
Yahoo! remote crash from incorrect character encoding
http://www.pidgin.im/news/security/?id=70
 
Windows Pidgin crash receiving some characters
http://www.pidgin.im/news/security/?id=69

Fuente:
Fernando Castillo
fcastillo@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar