您的位置:
本月中旬安全研究员透露了2个流行的Windows即时消息服务——Yahoo Messenger和Trillian——客户端上的关键性漏洞。
被Rajesh Sethumadhavan公布在Full Disclosure mailing list上的雅虎Messenger缺陷,是一个利用特殊的手工地址名册登录条目就可使用的缓冲溢出漏洞。Sethumadhavan说,当Messenger遇到不正当的登录时就会立刻死机,但它依然可被源代码执行,也就是说,黑客很有可能在受攻击的计算机中加入自己的恶意的代码,比如按键式窃取资料或者垃圾广告等。
尽管雅虎公司还没有公布漏洞相应的补丁,周二晚些时候公司女发言人表示安全小组正在全力工作,并在不久之后就会有一个成果。
另一位研究员透露, 多服务客户端Trillian也有2个漏洞。
由Nate Mcfeters、Billy "BK" Rios、Raghav "The Pope" Dube组成的3人小组在处理统一资源标志符时确认在Trillian上有2个漏洞,据Mcfeters, Rios and Dube透露,该漏洞与之前引起骚动的Internet Explorer/Firefox漏洞相似。
在以上3个报告中有两个例子:第一个展示了通过未过虑的变量来编制已经注册的URIs(这一点跟firefoxurl漏洞非常类似)是非常危险的,第二个展示了尽管浏览器(在最初时)清洗了变量,许多操作仍然可以通过注册的URIs和很低劣的开发实践就可以执行,
昨天US-CERT也发出了他们自己警告,该漏洞在Trillian 3.1.6.0上已经被证实,又加入了基于哥本哈根漏洞追踪系统Secunia APS,这使得该漏洞问题非常紧迫,已经达到第二重要的等级。
Trillian网站开发者Cerulean Studios仍没有表现出即将开发出Trillian漏洞补丁的迹象。
