Yahoo! Messenger可插入脚本漏洞

漏洞信息详情

Yahoo! Messenger可插入脚本漏洞

• CNNVD编号：CNNVD-200207-119
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0032
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2002-05-27
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-06-06
  
• 厂        商：
  
  yahoo
• 漏洞来源：
  Phuong Nguyen※ dph…

Yahoo! Messenger（雅虎通）是美国雅虎（Yahoo!）公司推出的一套即时聊天工具。
Yahoo! Messenger中的\”ymsgr：addview?\”功能存在漏洞，可导致远程攻击者进行跨站脚本执行攻击。
Yahoo! Messenger在安装时会配置\’\’ymsgr：\’\’ URI句柄，在Win98系统下，注册表中为HKEY_LOCAL_MACHINE＼Software＼CLASSES＼ymsgr＼shell＼open＼command，默认值为\”＜Hard-drive：＼Directories＼＞YPAGER.EXE \\%1\”。此句柄调用接收\’\’addview\’\’等参数。
\”ymsgr：addview?\”允许用户增加URL内容到\”Content Tabs\”，并通过YIM来查看Web内容，YIM默认安装股票、天气、日历、新闻等相关Web内容。由于YIM对提交给\”ymsgr：addview?\”的Web内容缺少正确充分的检查，攻击者可以在Web页中插入脚本代码，当YIM用户使用此连接时，导致脚本代码被Yahoo! Instant Messenger，可导致用户基于Cookie认证的信息等泄露。

厂商补丁：
Yahoo!
——
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

请使用messenger 5.0 build 1065版本：

Yahoo! Messenger 5.0:

Yahoo! Upgrade Messenger 5.0 Build 1065

http://download.yahoo.com/dl/installs/ymsgr/ymsgr_1065.exe” target=”_blank”>
http://download.yahoo.com/dl/installs/ymsgr/ymsgr_1065.exe

来源:US-CERT Vulnerability Note: VU#172315
名称: VU#172315
链接:http://www.kb.cert.org/vuls/id/172315

来源:CERT/CC Advisory: CA-2002-16
名称: CA-2002-16
链接:http://www.cert.org/advisories/CA-2002-16.html

来源: BID
名称: 4838
链接:http://www.securityfocus.com/bid/4838

来源: BUGTRAQ
名称: 20020527 Yahoo Messenger – Multiple Vulnerabilities
链接:http://online.securityfocus.com/archive/1/274223

来源: XF
名称: yahoo-messenger-script-injection(9184)
链接:http://www.iss.net/security_center/static/9184.php