Wszyscy korzystający z najpopularniejszego polskiego komunikatora muszą być teraz nieco bardziej ostrożni - odkryto błąd umożliwiający przejęcie kontroli nad komputerem.
Na stronie seclists.org Kacper Szczęśniak opublikował opis dziury odnalezionej w Gadu-Gadu. Całość opiera się na prostym kodzie, który umożliwi na automatyczne zapisanie dowolnego pliku na dysku ofiary i uruchomienie go. Może to być trojan, keylogger czy dowolny inny złośliwy program.
Na szczęście skryptu nie wystarczy wkleić do okienka rozmowy. Luka to system przesyłania plików wbudowany w Gadu-Gadu. Nazwa takiego obiektu może mieć 255 znaków, co pozwala na stworzenie wystarczająco skutecznego skryptu JavaScript, żeby przejąć interfejs programu. Opcja wysyłania obiektów działa tylko na znajomych z listy, warto więc mieć się na baczności i póki co nie dodawać do niej obcych.
Wbudowane mechanizmy obronne nie radzą sobie z kodem JS, a luka działa we wszystkich wersjach oryginalnego komunikatora. Możliwość zapisania i uruchomienia dowolnego pliku bez interakcji ze strony atakowanego użytkownika to poważna usterka. Warto więc pomyśleć o przynajmniej chwilowej zmianie komunikatora na inny program obsługujący protokół Gadu-Gadu, jak Miranda, Jabber czy coraz popularniejsze WTW.
Więcej o ostatnich niebezpiecznych lukach:
- Android naraża na atak 99,7% użytkowników
- Microsoft - 1 na 14 plików to trojan
- PSN: Luka w systemie zmiany haseł
Źródło: Niebezpiecznik
Komentarze
42Już dawno go wywaliłem u siebie i naciągnąłem siostrę i kolegów - przestały mulić się komputery,mniej wirusów itp.