安全研究人员日前披露称,两个Windows平台的即时消息客户端软件雅虎通和Trillian中存在严重的安全漏洞。
安全研究人员Rajesh Sethumadhavan本周一在“全面披露”邮件列表中公布了雅虎通的安全漏洞。这是一种缓存溢出安全漏洞。使用一种特出制作的地址簿输入数据就可以利用这个安全漏洞。Sethumadhavan说,当雅虎通软件遇到这种畸形的输入数据时就会崩溃。这个安全漏洞也可能被用来执行代码,也就是说攻击者可能向被攻破的计算机注入自己的恶意代码,如盗窃键盘敲击信息的程序或者垃圾邮件bot。
雅虎还没有为这个安全漏洞发布补丁,也没有立即对这个消息发表评论。
三位安全研究人员Nate Mcfeters、Billy Rios和Raghav说,他们在即时消息软件Trillian中发现了两个安全漏洞。这个安全漏洞出现在这个软件处理AIM统一资源标识符(URI)的过程中。这个安全漏洞与上个星期引起争论的IE/火狐浏览器的安全漏洞类似。
这三位安全人员说,这个安全漏洞的第一个例子是由向注册了URI的程序发送没有经过过滤的参数的危险。第二个例子是,如果浏览器对这个参数进行消毒,许多程序都会通过注册的URI和不良开发做法被远程利用。
美国计算机应急反应小组发布警告称,Trillian 3.1.6.0版已经证实存在这个安全漏洞。丹麦的安全漏洞跟踪公司把这个安全漏洞列为“非常严重”等级的安全漏洞。
Trillian软件开发商Cerulean Studios的网站没有提供很快将修复Trillian漏洞的迹象。
责任编辑:封小明
