修复即时消息软件漏洞 雅虎发布补丁程序
来源:赛迪网 时间:2003-06-02 15:06:00
雅虎5月30日发布了雅虎通和雅虎聊天客户端软件的补丁,以修复在软件中发现的缓存溢出的安全漏洞。当用户使用这种软件登录IM(即时消息)网络或者登录一个聊天室的时候,雅虎就弹出一项通知,要求用户安装这个补丁。此外,雅虎还在其网站贴出了这个补丁。
缓存溢出是用C和C++语言编写的程序中常见的一种安全漏洞。这种安全漏洞允许更多的信息加入到内存中,超过内存的设计容量。
据雅虎公司代表称,雅虎通和雅虎聊天程序中的缓存溢出攻击能够导致出现很多问题。例如,人们可能被迫退出应用程序。更严重的是,这种漏洞能够让入侵者执行代码,使恶意程序员控制用户的计算机、删除文件并给受害者的计算机系统带来灾难。
如果受害者浏览含有恶意HTML代码的网页,或者通过点击雅虎通发来的链接访问包含恶意HTML代码的网页,这种攻击才会发生。雅虎表示,它还不知道雅虎通用户或雅虎聊天软件用户是否有通过这种方式受到攻击的。
一位公司代表说,许多安全公司都把这个安全漏洞通知了雅虎。雅虎5月30日把这些安全漏洞的细节和补丁提供给了Bugtraq安全邮件列表和美国卡内基梅隆大学计算机应急反应小组安全协调中心。