Diamo notizia della scoperta di una pericolosa vulnerabilità di sicurezza all’interno di Pidgin, il famoso client di messaggistica istantanea opensource. Come conferma il bollettino pubblicato sul sito ufficiale del progetto (ved. questa pagina), un aggressore può essere in grado di arrivare ad eseguire codice nocivo sul sistema dell’utente sfruttando una lacuna del programma nella gestione dei pacchetti SLP di MSN. Nessuna interazione è richiesta da parte dell’utente: l’aggressore non deve nemmeno essere presente tra i contatti della vittima per riuscire a sferrare l’attacco.
L’errore risiederebbe nella libreria “libpurple”: essa offre il supporto per molteplici network di messaggistica consentendo il login a più servizi attraverso l’interfaccia di un unico software. Il protocollo SLP di MSN si ispira al funzionamento di SIP, con un numero più ristretto di “metodi” utilizzabili: in questa pagina è descritto nel dettaglio il funzionamento di MSN SLP.
Tutti gli utenti di Pidgin è bene provvedano immediatamente all’aggiornamento della versione impiegata. Affette dalla grave lacuna di sicurezza, infatti, sono tutte le versioni del programma antecedenti la 2.5.9. Nelle scorse ore sono state messe a disposizione più release in rapida successione: la versione più aggiornata – esente da problematiche conosciute – è al momento la 2.6.1.
Pidgin 2.6.1 può essere prelevato gratuitamente facendo riferimento a questa scheda.