微点交流论坛

标题: Miranda IM "ext_yahoo_contact_added()"字串格式化漏洞 [打印本页]

作者: pioneer 时间: 2007-11-26 09:45 标题: Miranda IM "ext_yahoo_contact_added()"字串格式化漏洞

来源

secunia.com

软件名

Miranda IM 0.x

描述

这可恶意危害有漏洞的系统
yahoo.c的"ext_yahoo_contact_added()"可通过包含格式化字串符的"Y7 Buddy Authorization"包导致字串格式化错误。
执行成功后可执行任意代码，但是需要用户被骗连接到恶意服务器

该漏洞在V0.7.1中已经确认

解决方案

升级到V0.7.2.
http://sourceforge.net/project/showfil
es.php?group_id=94142

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn