Krytyczny błąd w Gadu-Gadu
-
- 26.05.2011, godz. 15:30
Wykryta we wtorek dziura w zabezpieczeniach Gadu-Gadu okazała się poważna. Błąd w kodzie źródłowym pozwalał hakerom na zdalne uruchamianie plików na komputerach użytkowników GG.
Exploit na GG: złośliwy kod w nazwie pliku
Wystarczyło umieścić w nazwie pliku odpowiedni kod HTML/JavaScript. Haker otrzymywał z jego pomocą dostęp do interfejsu GG i mógł w zdalny sposób pobrać i uruchomić dowolne pliki na komputerze innego użytkownika.
Exploit na Gadu-Gadu został udostępniony przez Kacpra Szcześniaka na liście dyskusyjnej Full Disclosure. Jak się okazało, atakiem zagrożone były wszystkie oficjalne wersje klienta GG.
Reakcja Gadu-Gadu
Niedługo po informacji o błędzie w komunikatorze Gadu-Gadu, głos w sprawie zabrał Jarek Rybus, rzecznik prasowy GG Network.
Natychmiast po otrzymaniu zgłoszenia przystąpiliśmy do intensywnych prac, aby znaleźć zagrożenie i wprowadzić poprawkę tak szybko, jak to możliwe. I mam dobrą informację - w kilka godzin udało nam się już wdrożyć poprawkę, załatała ona dziurę w bezpieczeństwie.
Będziemy jeszcze przyglądać się tej sprawie. Dodam, że problem ten nie dotyczył wersji mobilnych GG, ani wersji Web Gadu.
GG jest już bezpieczne, ale malware instalujący się bez udziału użytkownika, budzi zrozumiały lęk. Podobny atak miał niedawno miejsce na Hotmailu, gdzie otwarcie wiadomości e-mail automatycznie uruchamiało złośliwy kod.
Autorzy
Wiktor Szpunar
PCWorld
Zadebiutował na łamach CD-Action w wieku 14 lat. Już wtedy wróżono mu świetlaną przyszłość… i rzeczywiście – latem 2010 trafił do IDG. Generuje niusy dla portali internetowych firmy, a w międzyczasie publikuje artykuły w PC Worldzie. Zna wszystkie serwisy społecznościowe w Polsce, a kiedyś w każdym z nich miał swój profil. Jest webdeweloperem (dawno temu stworzył kilka stron dla firm ;-) ) i sieciowym aktywistą. W wolnym chwilach studiuje Biblię. Słucha piosenek Niemena i czasem śpiewa je pod nosem.
Kontakt: Wiktor Szpunar
