| 受影响系统:
Yahoo! Messenger 6.0
Yahoo! Messenger 5.x
描述:
--------------------------------------------------------------------------------
雅虎通是一款非常流行的即时通讯工具。
雅虎通对日志记录的处理上存在脆弱性,可能造成用户隐私信息泄露。
如果雅虎通启用了“Logfile”功能的话,未经授权的用户就可能在本地机器上秘密的记录并浏览所有登陆ID发送和接收的通讯,导致泄漏用户隐私,并增加了远程拒绝服务攻击的可能性。
<*来源:Torseq Tech (bindshell@gmail.com)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111643475210982&w=2
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://geocities.com/ken_thompson39/log/Use_Logfile.html
http://geocities.com/ken_thompson39/log/Logfile.html
建议:
--------------------------------------------------------------------------------
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 将ypager.log权限设置为只读,或在共享电脑上启动雅虎通时禁用记录功能。
厂商补丁:
Yahoo!
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://messenger.yahoo.com/
|
