黑色海岸线论坛 - Powered by Discuz! Board

标题: [转帖]雅虎通未经许可添加联系人漏洞 [打印本页]

作者: 所谓伊人 时间: 2005-5-20 08:51 标题: [转帖]雅虎通未经许可添加联系人漏洞

受影响系统： Yahoo! Messenger 6.0 Yahoo! Messenger 5.x 描述： -------------------------------------------------------------------------------- 雅虎通是一款免费的即时通讯软件。雅虎通5.x/6.0版本的“好友”标签的“邀请朋友使用雅虎通”和“添加好友”选项中存在漏洞，可能允许攻击者在用户完全未知的情况下添加好友列表。上述功能允许通过Yahoo!的HTTP server发送邮件，要求他人下载使用雅虎通。模板生成的邮件可能包含有恶意链接。如果攻击者指定了yahoo.com域名以外的链接的话，就可以浏览负责生成这个链接和发送邮件的模板。一旦篡改了链接的话，攻击者就可以将其拖至浏览器的地址栏中，登陆到用户要添加的雅虎通帐号。用户会以为收到邮件邀请的攻击者已经允许将其添加为好友，这样就不再发送好友请求确认。 <*来源：Torseq Tech （bindshell@gmail.com）链接：http://marc.theaimsgroup.com/?l=bugtraq&m=111602450208098&w=2 *> 建议： -------------------------------------------------------------------------------- 厂商补丁： Yahoo! ------ 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： http://messenger.yahoo.com/

作者: 飞鸟设计 时间: 2005-5-21 06:37 标题: [转帖]雅虎通未经许可添加联系人漏洞

恩，呵呵刚想贴呢恩，你比我快。
HOHO~~ 只要贴上来大家知道了就OK`

作者: 所谓伊人 时间: 2005-5-21 15:59 标题: [转帖]雅虎通未经许可添加联系人漏洞

呵呵，说的对！

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)