Gaim (複数のネットワークを繋げて使用できるインスタントメッセンジャ) の開発者が、ハイパーリンクを処理するコードに脆弱性を発見しました。 'Manual' ブラウザコマンドは、信用できない文字列を、エスケープしたり 信頼できる引用符での囲み処理を行ったりすることなくシェルに渡すように なっているため、攻撃者がユーザのマシン上で任意のコマンドを実行できます。 残念ながら、Gaim はユーザがクリックするまでハイパーリンクである ことを表示しません。他の組み込みブラウザコマンドを使うユーザには、 この脆弱性はありません。
この問題は、現安定版 (stable) (woody) ではバージョン 0.58-2.2 で、 不安定版 (unstable) (sid) ではバージョン 0.59.1-2 で各々 修正されています。 旧安定版 (potato) は、Gaim プログラムを収録していないため、 この問題の影響は受けません。
修正されたバージョンの Gaim は、ユーザのマニュアルブラウザコマンドを 渡さないようになりました。引用符中に "%" を含むコマンドは、引用符を 含まないように修正する必要があります。 'Manual' ブラウザコマンドは、'Preferences' ダイアログの 'General' ペインの中で編集できます。これは、ログインウィンドウで 'Options' をクリックすることによって、また、buddy list ウィンドウのメニューバー 内の 'Tools' から 'Preferences' を辿ることでアクセス可能です。
早急に gaim パッケージをアップグレードすることをお勧めします。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。