本月中旬安全研究員透露了2個(gè)流行的Windows即時(shí)消息服務(wù)??Yahoo Messenger和Trillian??客戶端上的關(guān)鍵性漏洞。

被Rajesh Sethumadhavan公布在Full Disclosure mailing list上的雅虎Messenger缺陷，是一個(gè)利用特殊的手工地址名冊(cè)登錄條目就可使用的緩沖溢出漏洞。Sethumadhavan說(shuō)，當(dāng)Messenger遇到不正當(dāng)?shù)牡卿洉r(shí)就會(huì)立刻死機(jī)，但它依然可被源代碼執(zhí)行，也就是說(shuō)，黑客很有可能在受攻擊的計(jì)算機(jī)中加入自己的惡意的代碼，比如按鍵式竊取資料或者垃圾廣告等。

盡管雅虎公司還沒(méi)有公布漏洞相應(yīng)的補(bǔ)丁，周二晚些時(shí)候公司女發(fā)言人表示安全小組正在全力工作，并在不久之后就會(huì)有一個(gè)成果。

另一位研究員透露， 多服務(wù)客戶端Trillian也有2個(gè)漏洞。

由Nate Mcfeters、Billy "BK" Rios、Raghav "The Pope" Dube組成的3人小組在處理統(tǒng)一資源標(biāo)志符時(shí)確認(rèn)在Trillian上有2個(gè)漏洞，據(jù)Mcfeters, Rios and Dube透露，該漏洞與之前引起騷動(dòng)的Internet Explorer/Firefox漏洞相似。

在以上3個(gè)報(bào)告中有兩個(gè)例子：第一個(gè)展示了通過(guò)未過(guò)慮的變量來(lái)編制已經(jīng)注冊(cè)的URIs（這一點(diǎn)跟firefoxurl漏洞非常類似）是非常危險(xiǎn)的，第二個(gè)展示了盡管瀏覽器（在最初時(shí)）清洗了變量，許多操作仍然可以通過(guò)注冊(cè)的URIs和很低劣的開(kāi)發(fā)實(shí)踐就可以執(zhí)行，

昨天US-CERT也發(fā)出了他們自己警告，該漏洞在Trillian 3.1.6.0上已經(jīng)被證實(shí)，又加入了基于哥本哈根漏洞追蹤系統(tǒng)Secunia APS，這使得該漏洞問(wèn)題非常緊迫，已經(jīng)達(dá)到第二重要的等級(jí)。

Trillian網(wǎng)站開(kāi)發(fā)者Cerulean Studios仍沒(méi)有表現(xiàn)出即將開(kāi)發(fā)出Trillian漏洞補(bǔ)丁的跡象。

標(biāo)簽： 安全 代碼 開(kāi)發(fā)者 漏洞 網(wǎng)站 問(wèn)題

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。