Forum Komputery Wirusy, trojany, spyware
ZMIEŃ
    Dodaj do ulubionych

    Luka w Gadu-Gadu

    18.09.04, 16:12
    "Jak podało CERT Polska, odkryto lukę w komunikatorze internetowym
    Gadu-Gadu.

    Jest ona związana z możliwością wysyłania obrazków. Funkcja ta jest
    prawdopodobnie dostępna we wszystkich wersjach tego komunikatora.

    Luka związana jest z błędem przepełnienia sterty. Odpowiednio
    spreparowana wiadomość może doprowadzić do zdalnego wykonania kodu
    umieszczonego na maszynie ofiary. Aby mogło dojść do ataku, musi być
    spełnionych kilka warunków, m.in. atakujący musi znajdować się w liście
    kontaktów ofiary.

    Szczegółowe informacje na temat "dziury" dostępne są pod adresem

    sec-labs.hack.pl/advisories/seclabs-adv-gadugadu-12-09-2004.txt.
    Jak poinformował Łukasz Fołtyn z firmy sms-express.com, na
    www.gadu-gadu.pl/ jest już gotowa do pobrania wersja build 150,
    pozbawiona opisanego wyżej błędu."
    Obserwuj wątek
      • e.111 Re: Luka w Gadu-Gadu 18.09.04, 18:52
        netsec napisał:

        > "Jak podało CERT Polska, odkryto lukę w komunikatorze internetowym
        > Gadu-Gadu.
        > Jest ona związana z możliwością wysyłania obrazków. Funkcja ta jest
        > prawdopodobnie dostępna we wszystkich wersjach tego komunikatora.

        With this message it is possible to make
        Gadu-Gadu overwrite arbitrary heap memory and
        cause access violation exception in RtlAllocateHeap
        (function exported by NTDLL library).

        ...jak widac dotyczy to tylko GG w wersji dla Windows
        >
        > Luka związana jest z błędem przepełnienia sterty. Odpowiednio
        > spreparowana wiadomość może doprowadzić do zdalnego wykonania kodu
        > umieszczonego na maszynie ofiary. Aby mogło dojść do ataku, musi być
        > spełnionych kilka warunków, m.in. atakujący musi znajdować się w liście
        > kontaktów ofiary...

        ... oraz musi używać systemu operacyjnego Microsoftu.
        O przepełnieniu sterty przy pomocy GG na innych systemach nic niewiadomo.
        ;)
        • netsec Re: Luka w Gadu-Gadu 18.09.04, 21:48
          To był wierny cytat. FYI sterty = stosu ;-)
          • Gość: e.111 Re: Luka w Gadu-Gadu IP: *.dip0.t-ipconnect.de 19.09.04, 01:04
            netsec napisał:

            > To był wierny cytat. FYI sterty = stosu ;-)
            >
            ...jak najbardziej wierny ;)

            With this message it is possible to make
            Gadu-Gadu overwrite arbitrary heap memory and
            cause access violation exception in RtlAllocateHeap
            (function exported by NTDLL library).

            Przy pomocy tego komunikatu jest możliwe spowodowania nadpisania pamięci na
            stercie co może spowodować naruszenie pamięci w RtlAllocateHeap (funkcja
            eksportowana z biblioteki NTDLL).

            rgds::E111

            ps.
            imho heap=sterta stack=stos,
            ale nie będę się upierać bo śpiący już jestem...
            ;)
            • netsec Re: Luka w Gadu-Gadu 19.09.04, 10:07
              Gość portalu: e.111 napisał(a):

              > netsec napisał:
              >
              > > To był wierny cytat. FYI sterty = stosu ;-)
              > >
              > ...jak najbardziej wierny ;)

              To był CYTAT newsroom.chip.pl/news_113150.html
              a nie wierne tłumaczenie ;-)
    Inne wątki na temat:

    Najnowsze z forum Wirusy, trojany, spyware

    Nie masz jeszcze konta? Zarejestruj się

    Nakarm Pajacyka
    Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin
    Treści z serwisów internetowych Grupy Wyborcza.pl oraz serwisu tokfm.pl prezentujemy w ramach komercyjnej współpracy z ich wydawcami: Wyborcza sp. z o.o. oraz Grupą Radiową Agory sp. z o.o.
    Wybrane treści z serwisu Sport.pl są dostępne po wykupieniu płatnej subskrypcji