Ernstig lek in Off-The-Record voor Adium en Pidgin gepatcht

[Captain Kirk]

Een populaire softwarebibliotheek waarmee internetgebruikers versleuteld communiceren bevat een ernstige kwetsbaarheid waardoor een aanvaller in het ergste geval de computers kan overnemen. Het gaat om de libotr-softwarebibliotheek die het Off-The-Record (OTR) Messaging-protocol implementeert.

Naast het versleutelen van communicatie kunnen gebruikers via OTR ook controleren dat degene met wie ze chatten daadwerkelijk de persoon is die hij of zij beweert te zijn. Verder voegt OTR perfect forward secrecy en "deniability" toe, zodat er kan worden ontkend dat de gebruiker een bepaald chatbericht heeft verstuurd. Het protocol wordt door verschillende chatprogramma's gebruikt, zoals Pidgin, ChatSecure, Adium en anderen. OTR was volgens documentairemaakster Laura Poitras ook een onmisbare privacytool voor het maken van de documentair Citizenfour over klokkenluider Edward Snowden.

Onderzoekers van het Duitse X41 D-Sec hebben tijdens onderzoek een kwetsbaarheid in libotr ontdekt. Door het versturen van grote OTR-berichten kan een aanvaller het gebruikte chatprogramma laten crashen of willekeurige code op de computer van het doelwit uitvoeren. Volgens de onderzoekers is erin de standaardconfiguratie geen speciale gebruikersinteractie of autorisatie nodig. Het probleem speelt in libotr 4.1.0 en ouder.

De onderzoekers hebben hun aanval gedemonstreerd op de OTR-plug-in van het chatprogramma Pidgin, dat voor zowel Linux als Windows beschikbaar is, en van libotr gebruikmaakt. De kwetsbaarheid werd op 18 februari aan de ontwikkelaars gemeld. Die ontwikkelden twee weken later op 3 maart een update, die nu samen naast het beveiligingsonderzoek van de onderzoekers openbaar is gemaakt.

Vanwege de kwetsbaarheid krijgen gebruikers van Off-The-Record voor Pidgin het advies om meteen naar Pidgin-OTR versie 4.0.2 te upgraden, die van de nieuwe libotr 4.1.1 is voorzien. Voor gebruikers van Adium, waar OTR is ingebouwd, is versie 1.5.10.2 uitgekomen. Van ChatSecure voor iOS is versie 3.1.3 verschenen. De ontwikkelaars merken op dat de aanval meer dan 4gb geheugen vereist, waardoor gebruikers waarschijnlijk geen risico lopen.

 

 

bron: security.nl