雅虎通未经许可添加联系人漏洞

发布日期：2005-05-16
更新日期：2005-05-16

受影响系统：

Yahoo! Messenger 6.0
Yahoo! Messenger 5.x

描述：

---

雅虎通是一款免费的即时通讯软件。

雅虎通5.x/6.0版本的“好友”标签的“邀请朋友使用雅虎通”和“添加好友”选项中存在漏洞，可能允许攻击者在用户完全未知的情况下添加好友列表。

上述功能允许通过Yahoo!的HTTP server发送邮件，要求他人下载使用雅虎通。模板生成的邮件可能包含有恶意链接。如果攻击者指定了yahoo.com域名以外的链接的话，就可以浏览负责生成这个链接和发送邮件的模板。一旦篡改了链接的话，攻击者就可以将其拖至浏览器的地址栏中，登陆到用户要添加的雅虎通帐号。用户会以为收到邮件邀请的攻击者已经允许将其添加为好友，这样就不再发送好友请求确认。

<*来源：Torseq Tech （bindshell@gmail.com）

链接：http://marc.theaimsgroup.com/?l=bugtraq&m=111602450208098&w=2
*>

建议：

---

厂商补丁：

Yahoo!
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://messenger.yahoo.com/

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!