CERT 安全公告 CA-2002-16

magic

CERT 安全公告 CA-2002-16
涉及程序：  
Yahoo! Messenger   
   
描述：  
CERT 安全公告 CA-2002-16: Yahoo! Messenger 存在多个漏洞  
   
详细：  
CERT 发布安全公告，指出 Yahoo! Messenger 存在多个安全漏洞，攻击者利用这些漏洞，能以受害者用户身份权限执行任意代码。CERT 建议受影响用户升级到 5,0,0,1065 更新版本。
Yahoo! Messenger 是一个被广为使用的即时通讯软件，但是发现它存在缓冲区溢出及 URL 验证漏洞：
VU#137115：缓冲区溢出漏洞
Yahoo! Messenger URI HANDLER 安装在系统级别上，提供应用程序（如 Microsoft Internet Explorer, Netscape Navigator 6, Microsoft Outlook, command shell）处理 URI 功能，一个 URI 可存在于由另一个 Yahoo! Messenger 用户传出的信息中，内嵌在网页中或是一个 HTML 格式的电子邮件中。但是 URI handler (ymsgr 处理过程中存在缓冲区溢出漏洞，攻击者利用此漏洞，能在受影响用户机器上执行任意代码。
此漏洞的 CVE 编号为: CAN-2002-0031,
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0031
U#172315: Yahoo! Messenger "addview" 执行攻击者任意代码漏洞
Yahoo! Messenger "addview" 函数中存在一个安全漏洞，远程攻击者利用此漏洞，能以 "Internet security zone" 安全等级执行任意代码。设计上，"addview" 函数应该只能接受由YAHOO！ 服务器送来的 View Information，但攻击者利用 Yahoo! URL 重定向服务能送出恶意脚本及 HTML 语法到客户端，这些脚本和HTML会被 Yahoo! Messager 客户端程序解释并显示在客户端浏览器上。
CVE 编号: CAN-2002-0032:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0032
受影响系统：
Yahoo! Messager 5,0,0,1064 及之前版本  
   
解决方案：  
建议受影响用户安装 Yahoo! Messager 5,0,0,1065 版  
   
攻击方法：  
暂无有效攻击代码  
   
附加信息：  
VU#137115：缓冲区溢出漏洞 CVE 编号为: CAN-2002-0031,
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0031
U#172315: Yahoo! Messenger "addview" 执行攻击者任意代码漏洞 CVE 编号: CAN-2002-0032:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0032