安全研究专家警告:雅虎信使中存在着一个安全漏洞允许攻击者在使用这一即时通信程序的计算机上运行任意代码!
丹麦的Secunia公司本周三发出警报称,研究员Tri Huynh在雅虎信使的“yauto.dll”文件中发现了一个缓冲区溢出漏洞。“yauto.dll”是雅虎信使5.6.0.1347版之前的一个ActiveX组件。
攻击者通过发送一串长数据流(以网页URL的形式存在)到雅虎信使的“yauto.dll”中,从而触发计算机缓冲区溢出。由此造成的后果可能是程序崩溃,攻击者也可以在受害
系统上
放置恶意代码。
Secunia指出,已有研究人员对雅虎信使中这一安全隐患进行了测试,结果成功地在系统中放置并运行了一个木马程序。
Secunia表示它早在一个月前就已通过电子
邮件告知雅虎漏洞所在,但没有得到雅虎的回应。
雅虎也在当天发表了一份声明。在声明中雅虎指出它其实直到上述安全隐患在星期二晚间被发布在网上公告牌上时才知道该问题的存在。目前,雅虎正在验证报告的真实性并致力于
开发补丁。
Secunia将此安全隐患的危急程度标记为“高度紧急”。它建议使用不安全版本的雅虎信使用户将“yauto.dll”文件删除掉或重新设置网页
浏览器的配置以禁用ActiveX控件和Active Scripting。