Im populären Instant-Messenger-Client Trillian hat der Sicherheitsdienstleister iDefense eine Sicherheitslücke entdeckt. Bei der Verarbeitung von Nachrichten, die im Unicode-Zeichenformat UTF8 kodiert sind, kann es zu einem Pufferüberlauf und in der Folge zur Ausführung fremden Programmcodes kommen.
Der Fehler kann dann auftreten, wenn Trillian bei der Anzeige der Nachricht, etwa einer Autorisierungsanfrage, den Text umbricht. Dabei nutzt die zuständige Routine fälschlicherweise die Fensterbreite als Wert für die Größe eines Puffers. Angreifer können dadurch mit einer präparierten Textnachricht beliebigen Programmcode einschleusen, der mit den Rechten des Benutzers zur Ausführung kommt.
Der Hersteller von Trillian, Cerulian Studios, hat inzwischen die Programmversion 3.1.6.0 herausgegeben, die die Schwachstelle behebt. Nutzer der Software sollten das Update umgehend einspielen.