Trillian MSN验证SSL证书校验安全绕过漏洞

漏洞起因
设计错误

影响系统
Cerulean Studios Trillian 3.1

不受影响系统

危害
远程攻击者可以利用漏洞获得敏感信息。

攻击所需条件
攻击者必须访问Trillian。

漏洞信息
Trillian是一款聊天程序，和多种即时通讯程序使用相同的接口，包括AIM、ICQ、Yahoo! Messenger、MSN Messenger和IRC。
Trillian在发送MSN用户凭据前没有正确检查SSL证书，攻击者可以通过伪造的证书，在没有任何警告的境况下获得MSN用户名和密码信息。

测试方法

厂商解决方案
目前没有详细解决方案提供：
http://www.ceruleanstudios.com/

漏洞提供者
Gabriel Menezes Nunes

漏洞消息链接
http://www.securityfocus.com/archive/1/504573

← VLC Media Player ‘smb://’ URI处理远程缓冲区溢出漏洞

Tor拒绝服务和DNS伪造漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

Trillian MSN验证SSL证书校验安全绕过漏洞

0 条评论。

发表评论