Desbordamiento de buffer en VyPRESS Messenger 3.5.1
Se ha descubierto una vulnerabilidad en VyPress Messenger que puede ser explotada por usuarios maliciosos para comprometer un sistema vulnerable.
Vypress Messenger es una aplicación de intercambio de mensajes para la intranet, que puede correr sobre cualquier sistema operativo de la familia Microsoft Windows.
La función de visualización del programa se ve afectada por un problema de comprobación de tamaños de variables, esto puede permitir a un atacante realizar un desbordamiento de buffer con un mensaje especialmente formado a tal efecto, para ello tendrá que usar en el primer campo del mensaje cadenas largas de unos 776 caracteres.
Si el atacante envía el mensaje malicioso en modo broadcast a todos los usuarios de una LAN podría conseguir afectar a todos los usuarios que utilicen el programa. Si se consiguiera la ejecución de código arbitrario podría hacerse con los mismos privilegios que el usuario del programa.
La vulnerabilidad ha sido confirmada en la versión 3.5.1 y anteriores, por otra parte se ha corregido en la versión 4.0 RC1, disponible en la siguiente dirección: http://www.vypress.com/previews/