Как стало известно, в программной библиотеке libpurple, на которой построен ряд популярных IM-клиентов, присутствует серьезная уязвимость. В частности, ей подвержен Adium 1.5.10.2, и эксплойт в данном случае грозит удаленным исполнением кода.

О наличии бреши, которой был присвоен идентификатор CVE-2017-2640, разработчикам Adium сообщил исследователь Erythronium, распространив эту информацию 15 марта в рамках специализированной email-рассылки. В Adium-сообществе проблему обсудили, но ни бюллетеня, ни патча не последовало. Тем временем другой мессенджер, Pidgin, получил обновление 2.12.0.

В ответ на запрос Threatpost о комментарии Erythronium заявил следующее: «Если команда разработчиков [Adium] так и не выпустит информационный бюллетень, не принесет извинения, не расскажет в подробностях, каким образом она планирует далее обходиться с уязвимостями в кодовой базе и зависимостях, и не предоставит возможность создания сборок без этой жуткой libpurple, нужно будет просто перестать им пользоваться. А libpurple лучше вообще не применять, так как это слабая разработка с точки зрения безопасности».

Разработчики Adium на запрос Threatpost пока не ответили.

«В документации по процессу сборки Adium, похоже, ничего не сказано об апгрейде и рекомпиляции libpurple, а в репозитории open-source-кодов Adium копия libpurple зарегистрирована как blob-объект неизвестного происхождения», — пишет Erythronium в сообщении, разосланном по списку Full Disclosure.

Бесплатный чат-клиент Adium предназначен для использования на платформе macOS и позволяет подключаться к другим IM-сервисам, в частности к AIM, Google Talk и Yahoo Messenger. Программа написана с использованием Cocoa API, работает по протоколу XMPP и поддерживает также OTR-шифрование.

Libpurple используется не только в Adium, но и в ряде других IM-клиентов, в том числе в Pidgin и Finch. Согласно бюллетеню, опубликованному разработчиками Pidgin, уязвимость CVE-2017-2640 относится к классу «запись за пределами допустимого диапазона» и срабатывает при получении невалидного XML. На портале SecurityFocus уточняют: «Успешный эксплойт этой уязвимости позволяет вызвать состояние отказа в обслуживании, исполнить произвольный код или произвести неавторизованные действия».

Использование IM-приложений, поддерживающих шифрование, стало особенно приветствоваться после откровений Сноудена и других скандальных событий в мире ИБ — например, судебной тяжбы Apple и ФБР. Активисты из EFF даже составили список рекомендуемых инструментов для тех, кого заботит приватность. Этот список включал в числе прочего браузер Tor, криптомодули для браузеров, расширение HTTPS Everywhere для Firefox, а также чат-клиенты Adium и Pidgin.

Категории: Уязвимости