In seinen Vortragsfolien “cat /proc/sys/net/ipv4/fuckups” für den 26C3 hat Fabian ‘fabs’ Yamaguchi schon auf die “Libpurple arb. file download vuln” hingewiesen. Mittels präparierter “custom emoticon”-Requests ist es möglich beliebige Dateien vom Rechner des Anwenders zu laden, insofern das MSN-Protokoll aktiviert und ein derartiges Konto angemeldet ist. Die verwundbare Bibliothek wurde nun umgeschrieben und der Fehler behoben:
Each PurpleSmiley has a PurpleStoredImage behind it, so there’s no need to go and create a new one when someone asks for one. Also, ignore requests for smileys that don’t exist in the image store.
Neben Pidgin und Adium sind/waren auch Proteus, Empathy und alle anderen Clients betroffen, welche auf libpurple basieren (CVE-2010-0013).
