修补程序在消息传递加密工具中关闭安全漏洞

2021-07-08 13:46:21来源:

用于加密即时消息传递客户端的软件组件有一个缺陷,可以让攻击者接管用户“机器,但现在是漏洞的补丁。

该漏洞包含在Libotr,适用于OTR消息传递库和工具包中。最新版本现在为4.1.1。

OTR代表录制消息。它是一种加密协议,即加扰通过包括Pidgin,Chatsecure和Adium的客户端发送的消息。

德国公司X41 D-SEC的Markus Vervier发现了整数溢出缺陷,发布了一个咨询。

“该缺陷可能是由远程攻击者利用的缺陷,以使堆缓冲区溢出并随后在用户的机器上执行任意代码,”x41 d-sec写道。

该公司在手动代码审查期间找到了缺陷。它可以通过从一个客户端发送非常大的消息来利用另一个,这导致整数溢出,导致64位体系结构上的堆溢出,x41 d-sec写道。

发送的消息必须超过5.5 GB。这是巨大的,但是,该公司写道,OTR允许发送由Libotr组装的碎片化消息。

“向Pidgin客户端发送这样的消息在快速网络连接上只花了几分钟,而没有对用户的任何攻击的可见迹象,”它写道。

可以在此处下载最新版本的libotr。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章