Jak czytamy w wiadomości przesłanej przez Szcześniaka, Gadu-Gadu nieprawidłowo obsługuje żądania dotyczące transferu plików. Wystarczy umieścić w nazwie materiału krótki kod HTML, aby móc za jego pomocą zaatakować program i wymusić na przykład zapisanie czy uruchomienie dowolnego pliku w komputerze gospodarza. W ten sposób cyberprzestępca może na przykład bez wiedzy użytkownika zamieścić niebezpieczne oprogramowanie. Ponieważ problem dotyczy JavaScriptu, zabezpieczenia typu ASLR czy DEP nie pomagają. Nie jest wymagany nawet udział użytkownika.
Na poparcie swoich obserwacji Szcześniak zamieścił krótki exploit, za pomocą którego pobierany jest zewnętrzny kod. Warto zaznaczyć, że zgłoszony błąd dotyczy wszystkich oficjalnych wersji klienta Gadu-Gadu. Na ataki nie są natomiast podatni użytkownicy alternatywnych rozwiązań takich jak na przykład AQQ, Kadu czy Adium. Twórca klienta Gadu-Gadu jak dotąd nie wypowiedział się na temat wykrytej luki.
Aktualizacja, 25.05.2011 21:50
Otrzymaliśmy przed momentem informację od rzecznika prasowego firmy GG Network, Jarosława Rybusa, że luka została już załatana. Natychmiast po otrzymaniu zgłoszenia przystąpiliśmy do intensywnych prac, aby znaleźć zagrożenie i wprowadzić poprawkę tak szybko, jak to tylko możliwe. I mamy świeżą dobrą informację - w kilka godzin udało nam się już wdrożyć poprawkę, załatała ona dziurę w bezpieczeństwie.
Rzecznik prasowy zapewnia, że firma będzie jeszcze przyglądać się sprawie. Ponadto dodaje, że problem nie dotyczył wersji mobilnych Gadu-Gadu ani WebGadu.
