OTR lukker alvorligt hul

Artiklen blev oprindeligt publiceret den 10/3/2016

Det krypterede chatsystem OTR Messaging har lukket et alvorligt sikkerhedshul i Libotr til 64-bit arkitekturer.

En angriber kan udnytte sårbarheden ved at sende en besked, der fylder mere end fire gigabyte. Det forårsager et bufferoverløb på heap. Dermed kan programmet gå ned, eller der kan potentielt afvikles programkode.

Fejlen er rettet i Libotr 4.1.1.

OTR Messaging (Off-the-Record) indgår i en række chatsystemer, heriblandt Pidgin, ChatSecure og Adium.

Foruden denne rettelse er et andet sikkerhedshul i Pidgin også blevet rettet. Det findes i Pidgin-OTR plugin. Fejlen er rettet i version 4.0.2.

Anbefaling
Opdater til Libotr 4.1.1 og Pidgin-OTR Plugin 4.0.2.

Links

• X41-2016-001: Memory Corruption Vulnerability in "libotr"
• Off-the-Record Messaging News
• Heap use after free in Pidgin-OTR plugin (CVE-2015-8833)