ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

KLA10942
Múltiples vulnerabilidades en Pidgin
Actualizado: 07/05/2018
Fecha de detección
?
06/21/2016
Nivel de gravedad
?
Crítica
Descripción

Se han encontrado múltiples vulnerabilidades serias en Pidgin. Los usuarios malintencionados pueden explotar estas vulnerabilidades para provocar la denegación del servicio, obtener información confidencial y ejecutar código arbitrario.

A continuación hay una lista completa de vulnerabilidades:

  1. Las vulnerabilidades de anulación de eliminación de punteros nulos y las vulnerabilidades de lectura fuera de límites en el manejo del protocolo MXIT se pueden explotar de forma remota a través de datos MXIT especialmente diseñados enviados por servidores maliciosos o man-in-the-middle para provocar una denegación de servicio;
  2. Una vulnerabilidad de lectura fuera de límites en el manejo del protocolo MXIT se puede explotar remotamente a través de datos MXIT especialmente diseñados enviados por un servidor malicioso o man-in-the-middle posiblemente para causar una denegación de servicio u obtener información sensible;
  3. Las vulnerabilidades de corrupción de la memoria en el manejo del protocolo MXIT pueden explotarse remotamente a través de datos MXIT especialmente diseñados enviados por un servidor malicioso o man-in-the-middle posiblemente para ejecutar código arbitrario u obtener información sensible;
  4. Una vulnerabilidad de escritura fuera de límites en el manejo del protocolo MXIT puede explotarse remotamente a través de datos MXIT especialmente diseñados enviados por un servidor malicioso o man-in-the-middle posiblemente para ejecutar código arbitrario;
  5. Una vulnerabilidad de lectura fuera de límites en el manejo del protocolo MXIT se puede explotar remotamente a través de datos MXIT especialmente diseñados enviados por un servidor malicioso o man-in-the-middle posiblemente para obtener información sensible;
  6. Una vulnerabilidad de corrupción de memoria en el manejo del protocolo MXIT puede explotarse remotamente a través de un mensaje MXIT MultiMX especialmente diseñado enviado por un servidor malicioso o man-in-the-middle para ejecutar código arbitrario u obtener información sensible;
  7. Una vulnerabilidad de desbordamiento de búfer en el manejo del protocolo MXIT puede explotarse remotamente a través de datos MXIT especialmente diseñados enviados por un servidor malicioso o man-in-the-middle posiblemente para ejecutar código arbitrario;
  8. Una vulnerabilidad de desbordamiento de búfer en el manejo del protocolo MXIT se puede explotar de forma remota a través de datos MXIT especialmente diseñados enviados por un servidor malicioso o man-in-the-middle posiblemente para causar una denegación de servicio;
  9. Una vulnerabilidad de lectura fuera de límites en el manejo del protocolo MXIT puede explotarse remotamente a través de una información de contacto MXIT especialmente diseñada enviada por un servidor malicioso o un intermediario posiblemente para obtener información confidencial.

Detalles técnicos

Las vulnerabilidades (1) se pueden desencadenar mediante el envío de datos no válidos, un estado de ánimo no válido o un paquete que comienza con un byte NULO.

La vulnerabilidad (2) puede activarse enviando un tamaño no válido para un avatar.

La vulnerabilidad (5) se puede activar en caso de que se envíe un tamaño no válido de transferencia de archivos.

La vulnerabilidad (7) se puede activar en caso de que se envíe un tamaño no válido para un paquete.

La vulnerabilidad (8) puede activarse en caso de que se envíe una longitud de contenido negativa en respuesta a una solicitud HTTP. Dichos datos provocan una escritura fuera de límites de un byte.

Productos afectados

Versiones de Pidgin anteriores a la 2.11.0

Solución

Actualiza a la última versión
Descargar Pidgin

Notas informativas originales

Pidgin Security Advisories

Impactos
?
ACE 
[?]

OSI 
[?]

DoS 
[?]
Productos relacionados
Pidgin
CVE-IDS
?

CVE-2016-2377
CVE-2016-2376
CVE-2016-2375
CVE-2016-2374
CVE-2016-2373
CVE-2016-2372
CVE-2016-2371
CVE-2016-2370
CVE-2016-2369
CVE-2016-2368
CVE-2016-2367
CVE-2016-2366
CVE-2016-2365


Enlace al original