雅虎、Trillian遭遇IM漏洞攻击

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

本月中旬安全研究员透露了2个流行的Windows即时消息服务??Yahoo Messenger和Trillian??客户端上的关键性漏洞。

被Rajesh Sethumadhavan公布在Full Disclosure mailing list上的雅虎Messenger缺陷,是一个利用特殊的手工地址名册登录条目就可使用的缓冲溢出漏洞。Sethumadhavan说,当Messenger遇到不正当的登录时就会立刻死机,但它依然可被源代码执行,也就是说,黑客很有可能在受攻击的计算机中加入自己的恶意的代码,比如按键式窃取资料或者垃圾广告等。

尽管雅虎公司还没有公布漏洞相应的补丁,周二晚些时候公司女发言人表示安全小组正在全力工作,并在不久之后就会有一个成果。

另一位研究员透露, 多服务客户端Trillian也有2个漏洞。

由Nate Mcfeters、Billy "BK" Rios、Raghav "The Pope" Dube组成的3人小组在处理统一资源标志符时确认在Trillian上有2个漏洞,据Mcfeters, Rios and Dube透露,该漏洞与之前引起骚动的Internet Explorer/Firefox漏洞相似。

在以上3个报告中有两个例子:第一个展示了通过未过虑的变量来编制已经注册的URIs(这一点跟firefoxurl漏洞非常类似)是非常危险的,第二个展示了尽管浏览器(在最初时)清洗了变量,许多操作仍然可以通过注册的URIs和很低劣的开发实践就可以执行,

昨天US-CERT也发出了他们自己警告,该漏洞在Trillian 3.1.6.0上已经被证实,又加入了基于哥本哈根漏洞追踪系统Secunia APS,这使得该漏洞问题非常紧迫,已经达到第二重要的等级。

Trillian网站开发者Cerulean Studios仍没有表现出即将开发出Trillian漏洞补丁的迹象。

标签: 安全 代码 开发者 漏洞 网站 问题

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:NEC将推出基于网格的存储架构

下一篇:日本日立数据系统启动中国大西南战略