Niebezpieczna luka w Gadu-Gadu

Gadu-Gadu przytrafiła się wpadka związana z bezpieczeństwem komunikatora. Jak podał serwis niebezpiecznik.pl, błąd w programie pozwalał na zdalne wykonanie kodu na komputerze ofiary.

Luka dotyczy mechanizmu przesyłania plików. Okazało się, że jeśli w nazwie pliku przesyłanego pliku, która może mieć długość do 25. znaków, podamy kod HTML/JavaScript, zostanie on wykonany na komputerze odbiorcy pliku. Można w ten sposób zapisać lub uruchomić dowolny plik, bez wiedzy użytkownika.

Warto jednak zauważyć, że pliki w komunikatorze Gadu-Gadu można przesyłać jedynie między osobami z listy kontaktów. Dopóki więc nie mamy na tej liście nikogo podejrzanego, narażamy się co najwyżej na dowcip ze strony kolegi-programisty.

- Natychmiast po otrzymaniu zgłoszenia przystąpiliśmy do intensywnych prac, aby znaleźć zagrożenie i wprowadzić poprawkę tak szybko, jak to tylko możliwe. I mamy świeżą, dobrą informację - w kilka godzin udało nam się już wdrożyć poprawkę, załatała ona dziurę w bezpieczeństwie. - mówimy poproszony przez nas o komentarz, rzecznik prasowy Gadu-Gadu, Jarosław Rybus. - Będziemy jeszcze przyglądać się tej sprawie. Dodam, że problem ten nie dotyczył wersji mobilnych GG, ani wersji Web Gadu.

Jak dodaje Jarosław Rybus, klienci Gadu-Gadu nie muszą się martwić koniecznością aktualizacji, ponieważ problem leżał po stronie serwerów. Użytkownicy nie muszą pobierać nowej wersji klienta, ani oczekiwać komunikatu o aktualizacji. Jednocześnie zespół GG monitoruje sytuację i w razie ponownego pojawienia się problemów lub konieczności instalacji jakiś uaktualnień przez użytkowników, wyda odpowiedni komunikat.