zen-parse found さんにより、XChat IRC クライアントに 攻撃者がユーザの IRC セッションを奪うことができる 脆弱性が 発見されました。

XChat IRC クライアントに、利用している IRC サーバに 任意のコマンドを送るように仕組むことができます。 これは潜在的にソーシャルエンジニアリング (人間の心理を突いて計算機に 悪事をはたらくこと) 、チャンネルの乗っ取りおよびサービス停止攻撃を 許してしまいます。 この問題は、バージョン 1.4.2 と 1.4.3 にあります。 これよりも新しい XChat にも同様の脆弱性がありますが、その挙動は 設定変数 »precascii« によって制御されており、この値は デフォルトでは 0 になっています。 この変数が 1 に設定されるとバージョン 1.6/1.8 でも同様の問題が起こります。

この問題は、上流では、Debian の安定版リリース (2.2) 用のバージョン 1.8.7 およびバージョン 1.4.3-1 で、上流の 作者 Peter Zelezny さんによって作られたパッチを当てて修正されています。 早急に XChat パッケージをアップグレ^ドすることをお勧めします。 現在、この問題を突いた攻撃が盛んに行われているからです。