发布日期：2010-03-17
更新日期：2010-03-18

受影响系统：

Miranda Miranda IM 0.8.16
Miranda Miranda IM 0.7.1
Miranda Miranda IM 0.7

描述：

---

BUGTRAQ  ID: 38807

Miranda IM是Microsoft Windows平台上使用的开源多协议即时消息客户端。

如果满足了以下条件：

  - jabber账号设置中启用了Use TLS

  - Network设置中启用了Validate SSL certificates

  - 高级jabber设置中禁用了SASL authentication

Miranda就会忽略Jabber账号中的Use TLS设置使用未加密的连接，这可能允许攻击者在用户连接到XMPP/Jabber服务器时执行窃听和扮演攻击。

<*来源：Jan Schejbal （jan.mailinglisten@googlemail.com）
  
  链接：http://marc.info/?l=full-disclosure&m=126878593432354&w=2
        http://code.google.com/p/miranda/issues/detail?id=152
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 清除Disable SASL authentication选项并重启Miranda。

厂商补丁：

Miranda
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.miranda-im.org/

浏览次数：2305
严重程度：0（网友投票）