7月18日消息，安全研究人員日前披露稱，兩個(gè)Windows平臺(tái)的即時(shí)消息客戶端軟件雅虎通和Trillian中存在嚴(yán)重的安全漏洞。

安全研究人員Rajesh Sethumadhavan本周一在“全面披露”郵件列表中公布了雅虎通的安全漏洞。這是一種緩存溢出安全漏洞。使用一種特出制作的地址簿輸入數(shù)據(jù)就可以利用這個(gè)安全漏洞。Sethumadhavan說，當(dāng)雅虎通軟件遇到這種畸形的輸入數(shù)據(jù)時(shí)就會(huì)崩潰。這個(gè)安全漏洞也可能被用來執(zhí)行代碼，也就是說攻擊者可能向被攻破的計(jì)算機(jī)注入自己的惡意代碼，如盜竊鍵盤敲擊信息的程序或者垃圾郵件bot。

雅虎還沒有為這個(gè)安全漏洞發(fā)布補(bǔ)丁，也沒有立即對(duì)這個(gè)消息發(fā)表評(píng)論。

三位安全研究人員Nate Mcfeters、Billy Rios和Raghav說，他們?cè)诩磿r(shí)消息軟件Trillian中發(fā)現(xiàn)了兩個(gè)安全漏洞。這個(gè)安全漏洞出現(xiàn)在這個(gè)軟件處理AIM統(tǒng)一資源標(biāo)識(shí)符（URI）的過程中。這個(gè)安全漏洞與上個(gè)星期引起爭(zhēng)論的IE/火狐瀏覽器的安全漏洞類似。

這三位安全人員說，這個(gè)安全漏洞的第一個(gè)例子是由向注冊(cè)了URI的程序發(fā)送沒有經(jīng)過過濾的參數(shù)的危險(xiǎn)。第二個(gè)例子是，如果瀏覽器對(duì)這個(gè)參數(shù)進(jìn)行消毒，許多程序都會(huì)通過注冊(cè)的URI和不良開發(fā)做法被遠(yuǎn)程利用。

美國(guó)計(jì)算機(jī)應(yīng)急反應(yīng)小組發(fā)布警告稱，Trillian 3.1.6.0版已經(jīng)證實(shí)存在這個(gè)安全漏洞。丹麥的安全漏洞跟蹤公司把這個(gè)安全漏洞列為“非常嚴(yán)重”等級(jí)的安全漏洞。

Trillian軟件開發(fā)商Cerulean Studios的網(wǎng)站沒有提供很快將修復(fù)Trillian漏洞的跡象。

標(biāo)簽： 安全 代碼 漏洞 美國(guó) 網(wǎng)站

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。