“雅虎通”现致命缺陷 允许黑客任意运行恶意代码

疾隼

信息源:硅谷动力 广告 安全研究人员警告说，雅虎公司即时通讯服务中的一处安全缺陷将使黑客能够在用户的PC中运行他们自己的代码。 据Secunia公司于当地时间本周三发布的一份安全公告称，由研究人员特里发现的这一缓存溢出安全缺陷出现在一个名为yauto.dll的文件中。该公司称，它在一个月前就通过电子邮件向雅虎公司通报了这一问题，但雅虎公司没有任何反应。 雅虎公司在周三发布的一份声明中说，在该问题被发布到BBS上时，它才于周二晚上知道了这一情况。目前，它正在调查这一问题，并开发相应的补丁软件。声明指出，雅虎公司非常重视安全问题，采取了积极有效的方式保护我们的用户。 据Secunia公司称，通过以互联网网页URL的方式向yauto.dll中一个有缺陷的函数发送一长串数据，黑客就能够触发运行雅虎公司即时通讯服务的计算机上的缓存溢出安全缺陷，使应用程序崩溃或使黑客在计算机上运行自己的代码。 要发动攻击，黑客可以建立一个互联网网页，诱惑雅虎公司即时通讯服务的用户访问该网页，并点击其上的一个链接，触发缓存溢出安全缺陷，运行恶意代码。 Secunia公司认为这一缺陷“高度危急”，并表示研究人员对该安全缺陷进行了测试，并通过下载、运行特洛伊木马软件成功地利用该缺陷。 安装有存在该缺陷的即时通讯软件的用户可以从硬盘上删除yauto.dll，用户还可以修改互联网浏览器的配置，使ActiveX控件、脚本不能运行