#1 2. Mai 2007 Lücke in Trillian Der Sicherheitsdienstleister iDefense hat Sicherheitslücken im Internet-Relay-Chat-Modul des Instant-Messenger-Client Trillian entdeckt. Angreifer können betroffenen Anwendern dadurch beliebigen Schadcode unterschieben oder private Nachrichten mitlesen. Durch einen IRC-spezifischen PING-Befehl mit Zeichen in UTF-8-Kodierung kann der Trillian-Client eine falsch formatierte Antwort an den Server schicken, wodurch darauffolgende Zeilen an den Angreifer versendet werden könnten. Ebenfalls kritisch sind präparierte Links mit UTF-8-Zeichen. Im Code zum Hervorheben dieser Links kann durch eine fehlerhafte Verarbeitung ein Puffer überlaufen und ein Angreifer so Programmcode einschmuggeln. Denselben Effekt können IRC-Nachrichten haben, die ein font face-HTML-Tag mit langen UTF-8-Zeichenketten enthalten. Der Hersteller Cerulean hat die Lücken in den Trillian-Clients der Version 3.1.5.0 geschlossen. Aktuell steht auf der Webseite die Version 3.1.5.1 zum Download bereit. Trillian-Nutzer sollten die Software baldmöglichst auf die aktuelle Fassung aktualisieren. Quelle: heise.de Fix: cerulean.com + Multi-Zitat Zitieren