最新版本的開源即時通訊客戶端Pidgin 2.10.10這段時間修復了一系列漏洞，其中的SSL/TLS證書驗證問題可以被黑客利用來進行中間人攻擊。如此一來，某些稍顯雞肋的漏洞也借助中間人攻擊變得危害巨大。

[[123058]]

關于Pidgin

Pidgin是一個可以在Windows、Linux、BSD和Unixes下運行的多協議即時通訊客戶端，可以讓你用你所有的即時通訊帳戶中一次登錄。pidgin是自由軟件，你可以自由使用它，并修改它。

SSL/TLS引發的血案

Libpurple是Pidgin的核心鏈接庫，該鏈接庫支持一些即時通訊協議，包括Mac OS X的Adium、Meebo、BitlBee以及其他的一些即時通訊軟件。

近日安全研究人員發現了Pidgin的NSS和GnuTLS插件的漏洞。根據CVE-2014-3694的漏洞說明，Pidgin集成的libpurple庫的OpenSSL SSL/TLS插件，其在設計時并沒能考慮到基礎強制擴展也是SSL服務器證書。黑客可以通過偽造該證書竊取數據，即允許黑客插手IM服務器和其他https終端之間的通訊，從而進行中間人攻擊。

順帶提一句，另一個在最新版本的Pidgin中發現的漏洞CVE-2014-3698，是一個信息泄露漏洞。黑客可以通過向客戶端發送惡意XMPP消息，進而觸發libpurple庫里Jabber協議插件的漏洞，然后遠程竊取數據。

小編：某些特定的漏洞，根據CVE之類的官方文檔描述，或許看起來遠不如沙蟲和心臟滴血漏洞那樣強而有力。但是一旦有了特定漏洞或者遇到特定環境，可以實現中間人攻擊的時候，黑客們利用漏洞的門檻降低了，各種平時被我們忽視的攻擊，也會競相洶涌而來。

結合中間人攻擊，雞肋漏洞變廢為寶

Pidgin能結合中間人攻擊的有一些案例，由于Pidgin通訊客戶端是開源的，以它為基礎構建的部分通訊軟件也受到了影響。有了上述的那個SSL/TLS中間人攻擊漏洞，接下來使用其他漏洞結合它進行攻擊會容易的多。

思科塔羅斯情報小組的安全研究員Yves Younan分析了另外三個已經打上補丁的漏洞：

第一個漏洞

這個漏洞似乎只存在于Windows版本的客戶端，其出現在Pidgin客戶端處理主題包的環節，它會從網站下載TAR(Tape Archive)文件，然后導入客戶端。

在Linux版本中，解壓tar的功能會把文件儲存在特殊目錄下，與Windows版本不同，它需要執行代碼來進行操作。通過中間人攻擊，可以在其下載文件的過程中修改數據包，重構該解壓代碼自定義的絕對路徑。

Younan說道：

“這段解壓代碼與真正的tar功能不同，它可以自定義tar文件解壓的絕對路徑。這就導致該代碼被漏洞利用時，可以覆蓋重寫當前用戶權限下的任何文件。”

第二個漏洞

該漏洞發生在Novell Groupwise信息統籌軟件對libpurple庫的調用中。

Younan說道：“黑客如果能在中間人攻擊時，截獲修改某條Novell消息數據包的內容，可以通過發送大于內存預計的數據包進行內存溢出攻擊，從而讓客戶端崩潰。”

第三個漏洞

該漏洞是在Mxit的表情包中發現的，Mxit軟件被譽為“非洲的微信”。黑客可以通過中間人攻擊進行會話劫持，然后偽裝成mixt服務端向客戶端發送消息，從而觸發這個拒絕服務漏洞。

“如果可以改變客戶機通過Mxit協議下載的表情包數據，使得數據包大于ASN長度值時，就能造成數據溢出。但是這樣的攻擊并不能反饋數據給黑客，所以只能對客戶機造成拒絕服務攻擊。”

結語

中間人攻擊還是很可怕的，像某些漏洞看起來比較雞肋，一旦被綜合利用起來，也能造成極大的危害。