Pidgin is an easy to use and free chat client used by millions. Connect to AIM, MSN, Yahoo, and more chat networks all at once.

18日(米国時間)、人気の高いクロスプラットフォーム、マルチプロトコル対応のインスタントメッセンジャーPidginにリモート攻撃を受ける脆弱性があることが発表された。詳細はCore Security TechnologiesPidgin Security Advisoriesにおいてまとめられている。

Pidginの主要ライブラリであるlibpurpleのmsn_slplink_process_msg()関数に問題があり、特別に細工したMSNSLPメッセージを2つ続けて送信されることで不正な処理が実行される可能性がある。2.5.8およびそれ以前のバージョンのlibpurpleが影響を受ける。libpurple 2.5.8およびPidgin 2.5.9で修正されていると説明がある。

libpurpleはPidginのみならず、ほかのメッセンジャーの主要ライブラリとしても採用されている。Mac OS Xで人気のあるAdiumにはじまり、CUIベースのFinch、iPhoneで動作するApollo IM、モバイルフォン向けのEQO、Instantbird、Telepathy-Haze、Meeboなども同様の脆弱性を抱えている可能性がある。Adiumは1.3.5に脆弱性があると説明されている。