http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200207-119

Yahoo!Messenger（雅虎通）是美国雅虎（Yahoo!）公司推出的一套即时聊天工具。Yahoo!Messenger中的”ymsgr:addview?”功能存在漏洞，可导致远程攻击者进行跨站脚本执行攻击。Yahoo!Messenger在安装时会配置’ymsgr:’URI句柄，在Win98系统下，注册表中为HKEY_LOCAL_MACHINESoftwareCLASSESymsgrshellopencommand，默认值为”YPAGER.EXE%1″。此句柄调用接收’addview’等参数。”ymsgr:addview?”允许用户增加URL内容到”ContentTabs”，并通过YIM来查看Web内容，YIM默认安装股票、天气、日历、新闻等相关Web内容。由于YIM对提交给”ymsgr:addview?”的Web内容缺少正确充分的检查，攻击者可以在Web页中插入脚本代码，当YIM用户使用此连接时，导致脚本代码被Yahoo!InstantMessenger，可导致用户基于Cookie认证的信息等泄露。

来源:US-CERTVulnerabilityNote:VU#172315
名称:VU#172315
链接:http://www.kb.cert.org/vuls/id/172315
来源:CERT/CCAdvisory:CA-2002-16
名称:CA-2002-16
链接:http://www.cert.org/advisories/CA-2002-16.html
来源:BID
名称:4838
链接:http://www.securityfocus.com/bid/4838
来源:BUGTRAQ
名称:20020527YahooMessenger-MultipleVulnerabilities
链接:http://online.securityfocus.com/archive/1/274223
来源:XF
名称:yahoo-messenger-script-injection(9184)
链接:http://www.iss.net/security_center/static/9184.php