Yahoo! Messenger可插入脚本漏洞

Yahoo! Messenger可插入脚本漏洞

漏洞ID 1204306 漏洞类型 未知
发布时间 2002-05-27 更新时间 2005-06-06
图片[1]-Yahoo! Messenger可插入脚本漏洞-安全小百科CVE编号 CVE-2002-0032
图片[2]-Yahoo! Messenger可插入脚本漏洞-安全小百科CNNVD-ID CNNVD-200207-119
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200207-119
|漏洞详情
Yahoo!Messenger(雅虎通)是美国雅虎(Yahoo!)公司推出的一套即时聊天工具。Yahoo!Messenger中的”ymsgr:addview?”功能存在漏洞,可导致远程攻击者进行跨站脚本执行攻击。Yahoo!Messenger在安装时会配置’ymsgr:’URI句柄,在Win98系统下,注册表中为HKEY_LOCAL_MACHINESoftwareCLASSESymsgrshellopencommand,默认值为”YPAGER.EXE%1″。此句柄调用接收’addview’等参数。”ymsgr:addview?”允许用户增加URL内容到”ContentTabs”,并通过YIM来查看Web内容,YIM默认安装股票、天气、日历、新闻等相关Web内容。由于YIM对提交给”ymsgr:addview?”的Web内容缺少正确充分的检查,攻击者可以在Web页中插入脚本代码,当YIM用户使用此连接时,导致脚本代码被Yahoo!InstantMessenger,可导致用户基于Cookie认证的信息等泄露。
|参考资料

来源:US-CERTVulnerabilityNote:VU#172315
名称:VU#172315
链接:http://www.kb.cert.org/vuls/id/172315
来源:CERT/CCAdvisory:CA-2002-16
名称:CA-2002-16
链接:http://www.cert.org/advisories/CA-2002-16.html
来源:BID
名称:4838
链接:http://www.securityfocus.com/bid/4838
来源:BUGTRAQ
名称:20020527YahooMessenger-MultipleVulnerabilities
链接:http://online.securityfocus.com/archive/1/274223
来源:XF
名称:yahoo-messenger-script-injection(9184)
链接:http://www.iss.net/security_center/static/9184.php

相关推荐: Sun libnsl缓冲区溢出漏洞

Sun libnsl缓冲区溢出漏洞 漏洞ID 1207362 漏洞类型 缓冲区溢出 发布时间 1998-05-14 更新时间 2005-05-02 CVE编号 CVE-1999-0055 CNNVD-ID CNNVD-199805-011 漏洞平台 N/A C…

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享