雅虎、Trillian遭遇IM漏洞攻击

本月中旬安全研究员透露了2个流行的Windows即时消息服务??Yahoo Messenger和Trillian??客户端上的关键性漏洞。

被Rajesh Sethumadhavan公布在Full Disclosure mailing list上的雅虎Messenger缺陷，是一个利用特殊的手工地址名册登录条目就可使用的缓冲溢出漏洞。Sethumadhavan说，当Messenger遇到不正当的登录时就会立刻死机，但它依然可被源代码执行，也就是说，黑客很有可能在受攻击的计算机中加入自己的恶意的代码，比如按键式窃取资料或者垃圾广告等。

尽管雅虎公司还没有公布漏洞相应的补丁，周二晚些时候公司女发言人表示安全小组正在全力工作，并在不久之后就会有一个成果。

另一位研究员透露， 多服务客户端Trillian也有2个漏洞。

由Nate Mcfeters、Billy "BK" Rios、Raghav "The Pope" Dube组成的3人小组在处理统一资源标志符时确认在Trillian上有2个漏洞，据Mcfeters, Rios and Dube透露，该漏洞与之前引起骚动的Internet Explorer/Firefox漏洞相似。

在以上3个报告中有两个例子：第一个展示了通过未过虑的变量来编制已经注册的URIs（这一点跟firefoxurl漏洞非常类似）是非常危险的，第二个展示了尽管浏览器（在最初时）清洗了变量，许多操作仍然可以通过注册的URIs和很低劣的开发实践就可以执行，

昨天US-CERT也发出了他们自己警告，该漏洞在Trillian 3.1.6.0上已经被证实，又加入了基于哥本哈根漏洞追踪系统Secunia APS，这使得该漏洞问题非常紧迫，已经达到第二重要的等级。

Trillian网站开发者Cerulean Studios仍没有表现出即将开发出Trillian漏洞补丁的迹象。

标签： 安全 代码 开发者 漏洞 网站 问题

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。