Trillian: Sicherheits-Update schließt drei Lücken

Mit dem Update auf die neue Version 3.1.5.1 des Chat-Programms Trillian schließt dessen Hersteller mehrere Sicherheitslücken im IRC-Modul des Multiprotokoll-Messengers.

Der Hersteller von Trillian, Cerulean Studios, hat eine neue Version seines Instant Messengers zum Download bereit gestellt. Die Sicherheitsunternehmen Idefense und Tipping Point hatten mehrere Schwachstellen unter anderem in dessen IRC-Modul entdeckt, über die ein Angreifer beliebigen Code einschleusen und ausführen könnte. Auch das Mitlesen von privaten Unterhaltungen ist möglich.

Ein speziell gestalteter Ping-Befehl, dem das abschließende Zeichen für ein Zeilenende fehlt, kann dazu führen, dass Trillian dem IRC-Server eine fehlerhafte Antwort sendet und nachfolgende Daten an den Angreifer schickt, statt an den Server. Mit UTF-8 kodierte HTML-Formatierungen sind ebenfalls problematisch und können einen Pufferüberlauf provozieren.

Trillian unterstützt die Protokolle der Messenger ICQ, AIM, Yahoo und MSN (Live Messenger) sowie Internet Relay Chat (IRC) und läuft unter Windows 98 oder neuer, einschließlich Vista. Der Download-Umfang der kostenlosen Basic-Version von Trillian 3.1.5.1 beträgt 8,6 MB. Die Pro-Version für 25 US-Dollar ermöglicht auch Video-Chats und unterstützt zusätzlich das Jabber-Protokoll (etwa für Google Talk) und den Novell Groupwise Messenger. Hier gelangen Sie zum Download von Trillian 3.1.5.1. (PC-Welt/mja)