padu-padu... problemy

przestan prowokowac niby ze bajerancka skorka to argument? daj pan spokoj nie damy sie sprowokowac

Przerost formy nad trescia

OK, bajerancka skorka to jeszcze nie wszystko, ale to okno rozmowy mnie rozwalilo.

okno.gif
Opis:
Rozmiar:	47.71 KB
Odsłon:	836 raz(y)

Moze juz wiecie, moze nie wiecie:

"Secunia poinformowała o kilku istotnych nowo wykrytych usterkach w
komunikatorze Gadu-Gadu odkrytych przez Błażej Migę i Jaroslawa Sajko
z PSNC Security Team.

Wszystkie wykryte usterki dotyczą komunikatora w wersji 7.0.20 i
wcześniejszych. Niestety, jak udało się zaobserwować, program
Gadu-Gadu nie proponuje automatycznej aktualizacji do najnowszej
wersji 7.0.22, w której błędy zostały poprawione.

Dwie usterki dotyczą funkcji przesyłania grafik do innego użytkownika.
Obrazki z nazwą zaczynającą się od AUX: mogą doprowadzić do
zablokowania wątku odpowiedzialnego za obsługę wiadomości, zaś te z
nazwą rozpoczynającą się od LPT: mogą spowodować wysłanie dowolnej
treści na drukarkę. Problemy mogą sprawić też grafiki o długiej nazwie
(pomiędzy 192 i 200 znaków), które mogą spowodować zawieszenia
komunikatora odbiorcy.
Trzecia usterka dotyczy bezpośrednich połączeń, a więc użytkowników,
których tę opcję mają włączoną. Efektem wysłania specjalnego pakietu
DCC przez atakującego może być zajęcie dużej ilości pamięci u
odbierającego, a także wyświetlenie wielu komunikatów błędów.
Czwarta z usterek związana jest z obsługą linków URI rozpoczynających
się od gg:, pozwalających zazwyczaj na rozpoczęcie rozmowy z numerem
Gadu-Gadu. Jeśli atakującemu uda się namówić ofiarę do odwiedzenia
strony WWW z wieloma linkami rozpoczynającymi się od gg:, może on
doprowadzić do utraty konfiguracji programu.
Ostatnia wykryta usterka dotyczy obiektu ActiveX EasycallLite.oce, który
nie zapewniając dostatecznego bezpieczeństwa udostępnia funkcjonalność
rozmów głosowych. Po nakłonieniu użytkownika GG do odwiedzenia
specjalnej strony WWW można wykorzystać lukę do przechwytywania
dźwięków z mikrofonu."

Ta ostatnia usterka moze byc zabawna

roofman napisał:

Problemy mogą sprawić też grafiki o długiej nazwie (pomiędzy 192 i 200 znaków), które mogą spowodować zawieszenia komunikatora odbiorcy.

o jaaaaaaaaaa ale dziura kto ma takie obrazki o nazwie plikow 200 znakowych? w windowsie codziennie znajduje sie takie dziury od x lat i nikt ich nawet nie poprawia

Richie napisał:

o jaaaaaaaaaa ale dziura kto ma takie obrazki o nazwie plikow 200 znakowych? w windowsie codziennie znajduje sie takie dziury od x lat i nikt ich nawet nie poprawia

Nie znasz mozliwosci userow?
"Zdjecie.zrobione.w.wakacje.1987.roku.na.wycieczce.turystycznej.wygranej.w.konkursie.gazety.Pani.domu.Bylo.goraco.jak.diabli.jpg"
prawie autentyczne, widzialem dluzsze i lepsze nazwy

to co napisales ma tylko 123 znaki.. no ale nie chce z toba sie podejmowac kontynuacji bo wiem ze mozesz zaraz wyprodukowac 15 postow na dowolny temat, wiec masz racje, masz racje, masz racje, to wielka dziura i juz sie po prostu jej boje strasznie

to nawet nie o dziury chodzi. Tylko o to jak niestarannie jest pisany GG. To ze procedura nie uwzglednia przepelnienia tablicy (co ma tu miejsce) to podstawowy blad programistow. Tak wiec mozna sie spodziewac po gg wszystkiego. Zreszta sam wiesz ze mozna czytac cudze rozmowy osob ktore uzywaja klienta GG. Jak myslisz czemu?

ale przeciez to jest oczywiste ze gg ma kupe dziur podstawowych itd itp tak samo jak norton, windows itd

ale konnekt nie ma

tia malo 10 minut i 2 zwisy LOL nie ma po co wracac do tego nawet jemu nie trzeba nawet wysylania obrazkow o 200 znakach nazwie do wieszania go, wystarczy go.. zainstalowac

poza tym, kto szuka dziur w niszowym komunikatorze i po co?

Richie napisał:

to co napisales ma tylko 123 znaki..

Akurat sie czepiles najmniej istotnej rzeczy.
Moim zdaniem wieksze bledy to te z AUX: , LPT: i linkami GG: na stronie
I oswiadczam, ze to tylko informacja, nie proba rozpoczecia nastepnych
5 zakladek kto, ktory, jaki, dlaczego lepszy i ktory bardziej oczojebny
komunikator na rynku dostepny jest.

chcialem tylko napisac ze to nie docieranie wiadomosci to chyba nie tylko problem pluginu do mirandy, ostatnio z gg na gg (!) dwa razy mi nie doszly msgi.

co tylko wzmacnia moja teorie ze gg jako protokol jest po prostu lekko zabugowane

ja mysle ze to nie wina protokolu.
jak docelowy klient jest wylaczony to msgi sa keszowane na serku.
Prawdopodobnie z roznych przyczyn kesz jest czyszczony (restart serka, przepelnienie keszu etc). I tez mi sie zarzylo ostatnio (wysylane z konnekta)