Informujemy, iż w celu optymalizacji treści dostępnych w naszym serwisie,
w celu dostosowania ich do indywidualnych potrzeb każdego użytkownika, jak również dla celów reklamowych i
statystycznych korzystamy z informacji zapisanych za pomocą plików cookies na urządzeniach
końcowych użytkowników. Pliki cookies użytkownik może kontrolować za pomocą ustawień swojej
przeglądarki internetowej. Dalsze korzystanie z naszych serwisów internetowych, bez zmiany ustawień
przeglądarki internetowej oznacza, iż użytkownik akceptuje politykę stosowania plików cookies
Jak wiadomo jednym z najbardziej popularnych komunikatorów w Polsce jest Gadu-Gadu. Niestety po raz kolejny okazuje się, że we wszystkich wersjach tytułowego komunikatora występuje dość sporo błędów pozwalających wywołać zewnętrzny kod, wykraść dane z komputera ofiary a nawet zawiesić aplikację.
Przyczyną występowania tych błędów jest zła filtracja kodów html, przepełnienie buforu, zmiennej liczby całkowitej oraz stosu pamięci.
Wykorzystując złą filtrację kodów html, która odpowiedzialna jest za analizowanie początkujących znaczników http: i news: wpisanych do okna wiadomości, możemy używając w spreparowanym zapisie znacznika < a > wysłać odpowiednią informacje, która zostanie wykonana po stronie osoby odbierającej wiadomości.
Komunikator Gadu-Gadu umożliwia również łączenie się poprzez serwery proxy, jednak z racji tego, iż nie ma odpowiedniej autoryzacji tych serwerów można podszyć się pod jeden z nich i wysłać dowolny pakiet do komunikatora. Przykładowo wysyłając odpowiednio spreparowany plik dll do ofiary możemy wywołać jego wewnętrzną funkcję bez wiedzy użytkownika.
Problemy występują również podczas przesyłania plików wykorzystując do tego połączenie dcc (Direct Client to Client) oraz protokół ctcp (Client to Client Protocol). I tak wykorzystując protokół ctcp do przesłania pakietu z odpowiednimi wartościami możemy wydobyć dowolny plik od strony ofiary oczywiście bez jej wiedzy.
Podczas wysyłania obrazków również jesteśmy narażeni na atak. W przypadku, gdy przepełnimy stos wysyłając specjalnie przygotowany do tego celu obrazek, możemy bez problemu nadpisać go naszym dowolnym kodem.
Plik konfiguracyjny również może okazać się bardzo groźny. Opcja image send która standardowo jest wyłączona ma nie umożliwiać przesyłanie obrazków. Jednak nadal istnieje możliwość przesłania obrazków maksymalnie do 100 bajtów. Wykorzystując ponownie przepełnienie stosu podczas przesyłania obrazków możemy wysłać odpowiednio spreparowany kod do ofiary nawet, gdy ma opcję image send wyłączoną.
Jednak na tym się nie kończy. Złe porównanie długości przesyłanych plików powoduje, że mamy nad tym pełną kontrolę. Ponownie przepełniając bufor pamięci możemy umieścić dowolny kod, który zostanie przesłany i wywołany po stronie ofiary. Ponadto doprowadzając do przepełnienia zmiennej całkowitej podczas odbioru plików poprzez dcc możemy ponownie po stronie ofiary zapisać na dysku bądź w pamięci dowolnie przesłany kod, który może później zostać dowolnie wykorzystany.
Do czasu ukazania się poprawionej wersji komunikatora zaleca się wyłączyć obsługę połączeń bezpośrednich, nie otwierać wiadomości od nieznajomych oraz nie korzystać z proxy do łączenia z serwerem. Można także rozważyć korzystanie z innego komunikatora obsługującego protokół Gadu-Gadu.
Co do ostatniego zdania, to zacytuj? punkt regulaminu:
"Korzystanie z serwisu Gadu-Gadu jest dozwolone wy??cznie za pomoc? programu Gadu-Gadu. Korzystanie z serwisu Gadu-Gadu za pomoc? innych aplikacji, jak rwnie? za pomoc? zmodyfikowanego programu Gadu-Gadu b?dzie traktowane jako naruszenie regulaminu." ;-)
Tipros
- 19 December 2004, 12:42:29
To taki nasz prywatny polski Microsowt ... syf, syf, syf ...
qwerty01
- 19 December 2004, 13:10:45
Ja u?ywam tlen. Polecam wszystkim, a nie te GG (g?upie g**no).
Lesli
- 19 December 2004, 13:28:13
@qwerty a co powiesz jak si? oka?e ?e w tlenie te? jest bug ??
ja u?wam wpkontakt i skypa, ale nie powiem ?e gg to gw*o, bo by?o pierwsze, a to ?e kulawe - co wymagamy jak free, wi?c nie porwnujmy do mikrosoftu (Tipros ;) )
Gws ma racje ?e ci od gg to palanty bo pisz? jaki? regulamin a potem zalecaj? ?amanie go :)))
Czekam kiedy ju? systemy od M$ b?d? tak zarobaczone ?e podadz? info ?e zalecaj? u?ywania linuksa :)))
g_c
- 19 December 2004, 13:49:37
Witam. Przesta?cie ca?y czas narzeka? na GG !!! Jak wezm? si? za szukanie bugw w innych komunikatorach to si? okarze ?e GG ich ma najmniej :) Pozdrawiam u?ytkownikw GG...
soulraver
- 19 December 2004, 14:00:53
GG i GG :) jak macie shella i mozecie na nim zainstalowa? alternatyw? zwan? EKG to polecam to gor?co :) fajna zabawa i kompa wlasnego sie nie obciaza :) dobra sprawa, ja juz sie przesiadlem z tlenow i innych szrotow na to :)
shafran
- 19 December 2004, 14:33:18
eetam firewall antivir i co mi mog? zrobi?... gg rulz
CrazyLucas
- 19 December 2004, 15:48:08
zawiesic kompa...
gg jako system jest ok ale program komunikatora ssie
polecam mirande (z najnowsza wtyczka gg) albo tlena
undead
- 19 December 2004, 16:07:46
gg mam ostro okrojonego z wy??czonymi wszystkimi funkcjami, zeby nie by?o zaciekawie dla innych, ale powoli zaczynam sie zastanawiac czy by nie zrezygnowa? z tego sposobu komunikacji na rzecz maili
Tipros
- 19 December 2004, 16:16:30
shafran ta ochrona raczej CI nic nie da ...
undead
- 19 December 2004, 16:44:34
@Tipros racja wszczeglnosci jak gg sobie sciagnie dll'nieznanego pochodzenia to zaden antyvir tego nie wykryje :)
Seth
- 19 December 2004, 17:25:34
W rzeczy samej. Firewall nic nie pomo?e bo GG ma zapewniony dost?p do internetui odpowiedni? regu?? w firewallu. A antywirus? Hmm... GG musia?oby ca?y czas dzia?a? w jakim? sandboxie ?eby nic nie wyciek?o do systemu. Ma?o realne.
Damador
- 19 December 2004, 17:43:40
padu padu again :) ps panowie narzekacie o programoe czy o protokole - powiem jedno jako protokol jescze ujdzie ale jako program . to wiadomo , jeden lepszy drugi gorszy
swoja droga uzywwam aqq zarowno jako sieci jak i programu
VooDoofreak
- 19 December 2004, 19:38:50
sam wykrylem kilka bledow w gg ale nadal go uzywam... sam nie wiem dlaczego...:P
Jureq
- 19 December 2004, 19:39:42
To uzywajac AQQ do obslugi GG lamie regulamin?? Nawet nie wiedzialem. :)
?ywiec
- 19 December 2004, 20:21:32
A ciekawe ile b??dw ma Konnekt? U?ywam go ju? d?uuugo i powiem, ?e jest programik w pyt?. Je?li kto? jeszcze nie prbowa? to polecam. Trzeba paru dni, ?eby si? przyzwyczai? do innego UI ale warto przez to przebrn??. WPkontakt i Tlen s? te? fajne ale za bardzo zorientowane na te dwa portale, no i nie s? OpenSource :)
Lukas77
- 19 December 2004, 21:25:23
Konnekt te? nie jest Open Sorce, ale ?e jest "w pyte" to si? zgodz?, sam u?ywam i jestem zadowolony. ;-)
Koolo
- 19 December 2004, 21:57:51
GG mo?e i ma sporo wad ale ma jedn? zalet? ktra niweluje wszystkie wady, jest najbardziej rozpowszechniony, wi?c nie zmieni? go na inny super niezawodny i bezpieczny komunikator wyposa?ony w mnstwo wspania?ych i zupe?nie zb?dnych funkcji (ciekawe ktry to ?) bo nie mia?bym z kim si? komunikowa?. Jjedyn? sensown? alternatyw? jest Skype.
mandaryn
- 19 December 2004, 22:31:07
firewall, antyvir, spywareblaster, ad-aware i nie ma si? co ba? ... w ko?cu dojdziemy do wniosku, ?e dla bezpiecze?stwa najlepiej nie mie? komputera -> wtedy na pewno nas wirus ani haker nie zaatakuje :) (no chyba, ?e nasz? komrk? ...)
Pan_henryk
- 19 December 2004, 23:47:51
Bez urazy panowie z cdrinfo (a mo?e z hacking.pl ?), ale to wygl?da jakby konkurencja GG podsy?a?a wam listy bugw ...
GG daleko do idea?u ale nie wierz? w wybitn? jako?? innych polskich komunikatorw .
Lesli
- 20 December 2004, 00:06:27
no panie_henryku je?li chodzi o wiar? to zapraszam do serwisw teologicznych :))
to nie ten adres, a tak naprawd? to nawet jakby kto? komu? co? podsy?a? do newsw to jedynie istotne jest to czy to prawda, a nie z jakiego ?rd?a pochodzi info
?ywiec
- 20 December 2004, 23:11:58
@Koolo Praktycznie ka?dy komunikator u?ywany powszechnie w polsce (Oryginalne GG, Konnekt, WPkontakt, Tlen, Miranda...) ma mo?liwo?? komunikacji w sieci Gadu-Gadu, wi?c wybieraj?c co? innego wcale nie skazujemy si? na odci?cie od ?wiata w r?cz przeciwnie, gdy? one wszystkie (Bez org. GG - chyba) mog? si? komunikowa? z wieloma sieciami na raz.
@Pan_Henryk Je?li prbowa? pan napisa? program robi?cy co? wi?cej ni? "Hello World" to wie pan, ?e w ka?dym programie zdarzaj? si? b??dy i nikt nie twierdzi, ?e ich tam nie ma. Informacja o tych usterkach jest istotna, gdy? s? to w miar? gro?ne b??dy i w dodatku w programie ktry jest bardzo masowo u?ywany, wi?c pragn? gor?co podzi?kowa? autorowi tego newsa, ?e podzieli? si? z nami tym co przeczyta? na Hacking.pl
Christof
- 22 December 2004, 07:58:58
no to dla pana @qwerty01
http://di.com.pl/n/?lp=8515&r=1
