Gadu-Gadu - polityka (nie)bezpieczeństwa (aktualizacja no 1.)

Firma Gadu-Gadu została już kilkukrotnie informowana o lukach w popularnym komunikatorze. Nie otrzymałem odpowiedzi.

W Gadu-Gadu (najnowsza wersja) wykryłem kilka luk, które pozwalają na przeprowadzenie ataku odmowy usługi na tę aplikację. Jestem w trakcie badania kilku innych luk, nie wykluczam ew. możliwości zdalnego wykonania kodu.
Firma Gadu-Gadu została poinformowana, a jednak (nie będę oceniał dlaczego) nie podjęła żadnych kroków w celu wyjaśnienia ew. luk.

Sprostowanie

"[..] W związku z tym, że host, z którego była wysyłane wiadomości jest na liście hostów DSBL system odrzucił ten mail[..]" - wypowiedź przedstawiciela firmy Gadu-Gadu. Oto pełne stanowisko Pana Marcina Gozdalika:

"Okazuje się jednak, że firma Gadu-Gadu nie otrzymała maila z opisem błędów w aplikacji, ze względu na to że system z którego był wysyłany mail jest na liście hostów DSBL i system pocztowy Gadu-Gadu odrzucił tego maila. Gdy udało się skontaktować z przedstawicielem Gadu-Gadu za pomocą komunikatora odpowiedź była bardzo szybka, a firmie zależy na jak najszybszym poprawieniu błędów w aplikacji aby nie narażać użytkowników na niebezpieczeństwo".

Pierwsza z kilku opisywanych nie pozwala na wykonanie kodu, luka znajduje się w pliku Management.cpp. Efektem słabości komunikatora jest naruszenie pamięci, które skutkuje niepoprawnym zamknięciem w/w aplikacji.

Informacja od Gadu-Gadu:

Exception handler called in Management.cpp - AfxWinMain.

Kolejna luka może zostać łatwo odtworzona, jednakże także nie pozwala na zdalne wykonanie kodu: nie można zamknąć komunikatora mając otwarte okienko "zmiany topicu". Zamknięcie skutkuje naruszeniem pamięci, wykonanie kodu nie jest możliwe.

Ostatnia z opisywanych przeze mnie jest trudniejsza do wykrycia i została znaleziona podczas bardziej skomplikowanych badań kilku komunikatorów. Odpowiednie wykorzystanie luki pozwala na przeprowadzenie ataku denial of service na aplikację Gadu-Gadu.

Nie opisuję kolejnych czterech słabości ze względu na to, że jeszcze nie przeprowa dziłem badań mających na celu ustalenie ew. poziomu zagrożenia jakie niesie za sobą wykorzystanie luk.

HACKPL oczekuje od firmy Gadu-Gadu poczynienia odpowiednich kroków w celu wyjaśnienia zaistniałej sytuacji.

Oto screen, do którego w trakcie badań można się przyzwyczaić:

Oto przykład działania z programem gg-boom mojego autorstwa: