Pidgin es un programa de mensajería instantánea multicuenta y multiprotocolo distribuido bajo licencia GNU GPL. Permite por tanto conectarse de manera simultánea a varios servicios de mensajería como AIM, MSN, Jabber, Gtalk o ICQ entre otros.
Las vulnerabilidades son las siguientes:
- CVE-2014-0020: Denegación de servicio a través de mensajes IRC con argumentos manipulados.
- CVE-2013-6490: Desbordamiento de memoria intermedia a través de una cabecera SIMPLE con Content-Length negativo.
- CVE-2013-6489: Desbordamiento de memoria intermedia a través de un emoticono Mxit manipulado.
- CVE-2013-6487: Desbordamiento de memoria intermedia en Gadu-Gadu.
- CVE-2013-6486: Ejecución de ficheros no confiables al hacer click en URIs file://.
- CVE-2013-6485: Desbordamiento de memoria intermedia al procesar respuestas HTTP de tipo 'Chunked Transfer-Encoding'.
- CVE-2013-6484: Denegación de servicio a través de respuestas manipuladas de un servidor STUN.
- CVE-2013-6483: Referencia a puntero nulo en XMPP a través de respuestas 'iq' con origen manipulado.
- CVE-2013-6482: Múltiples referencias a puntero Nulo en MSN.
- CVE-2013-6481: Denegación de servicio en el plugin del protocolo Yahoo! al leer fuera de límites de un mensaje P2P.
- CVE-2013-6479: Denegación de servicio a través de respuestas HTTP manipuladas.
- CVE-2013-6478: Denegación de servicio al mostrar URLs demasiado grandes en una ventana de tipo 'tooltip'.
- CVE-2013-6477: Denegación de servicio a través de mensajes XMPP con marcas de tiempo manipuladas.
- CVE-2012-6152: Denegación de servicio en el plugin del protocolo Yahoo! al procesar cadenas con codificación distinta a UTF-8.
- Denegación de servicio en el renderizado de algunos caracteres Unicode.
Recomendación
Actualizar a la versión 2.10.8, donde todos los fallos han sido solucionados.
Más información:
Una al día (01/02/2014) http://unaaldia.hispasec.com/2014/02/multiples-vulnerabilidades-en-pidgin.html
Fuente: Hispasec