Secondo quanto riportato da iDefense Labs, il client multi-protocollo Trillian sarebbe affetto da una grave vulnerabilità in grado di permettere ad utenti malintenzionati di eseguire codice arbitrario nel computer delle vittime. La falla riguarderebbe la versione 3.1.5.1 del programma, ma i ricercatori di iDefense Labs ritengono possano essere a rischio anche le versioni precedenti. Immediata la risposta della ditta produttrice del software, la quale ha rilasciato un aggiornamento alla 3.1.6.0 in grado di correggere tale vulnerabilità.
L’exploit può avvenire semplicemente leggendo un messaggio creato da un utente malintenzionato e contenente una stringa UTF-8 appositamente preparata. Trillian sarebbe infatti affetto da una particolare debolezza nel gestire il word-wrapping delle stringhe UTF-8 visualizzate nella finestra dei messaggi, fattore che potrebbe essere sfruttato per produrre un heap corruption e creare così le condizioni per eseguire l’exploit. In tal caso, sarebbe possibile per l’attacker eseguire del codice arbitrario nel computer della vittima con i privilegi dell’utente.
Cerulean Studios ha prontamente rilasciato la versione 3.1.6.0 del client, versione immune da una vulnerabilità immediatamente catalogata da Secunia come “altamente critica”.