PT-2012-26: Удаленное выполнение JS-кода в qutIM Уязвимое ПОqutIM Версия: 0.3 и более ранняяСсылка: http://qutim.org/Рейтинг опасностиУровень опасности: Средний Воздействие: Выполнение JS-кода Вектор атаки: УдаленныйCVSS v2: Base Score: 5.4 Vector: (AV:A/AC:M/Au:N/C:P/I:P/A:P) CVE: отсутствуетОписание программыqutIM - это открытый и бесплатный многопротокольный (ICQ, Jabber, Mail.Ru, IRC, VKontakte) клиент обмена мгновенными сообщениями для Windows, Linux, MacOS X, OS/2, Symbian, Maemo/MeeGo, Solaris и *BSD. Описание уязвимостиСпециалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Неавторизованное удаленное выполнение JS кода" в qutIM.Если отправить сообщение с вредоносным JS-кодом, то он выполнится на стороне получателя. Пример:РешениеУстановите последнюю версию приложенияСтатус уведомления14.08.2012 - Производитель уведомлен 14.08.2012 - Производителю отправлены детали уязвимости 23.09.2013 - Производитель выпустил исправление 08.10.2013 - Публикация уязвимости БлагодарностиУязвимость обнаружил Михаил Фирстов (Исследовательский центр Positive Research компании Positive Technologies)Ссылкиhttp://www.securitylab.ru/lab/PT-2012-26 Список отчетов о ранее обнаруженных уязвимостях Positive Research:http://www.ptsecurity.ru/lab/advisory/ http://www.securitylab.ru/lab/
