雅虎公司的即时通讯软件中被发现存在一处bug,能够引起缓冲区溢出缺陷,使用户的系统对恶意代码“大门洞开”。
当地时间本周五━━也就是该缺陷报告给雅虎公司安全部门几天后,这一bug被发布
在多家安全新闻组上。据信雅虎公司正在开发补丁软件,只是还没有在其网站上公开承认为一缺陷而已。但雅虎公司已经发布了一个即时通讯软件的升级版,该升级版不受这一问题的影响。雅虎公司即时通讯软件的现有用户不能升级,而必须进行完整的安装。
当应用程序接受的数据太多而无法处理时,就会引发缓冲区溢出安全缺陷。这使得发送者能够在缓冲区中加载其它数据,使系统执行恶意代码而不是原来的软件。这次的缺陷影响5.6.0.1351及以下的版本,当用户下载一个文件名长度为特定数量的文件时,这一缺陷就会被触发。
声称在二个月前就发现这一问题的安全顾问Tri Huynh表示,这一bug能够引起严重的问题,因为即使用户不打开文件也能够受到攻击。他说,这一bug是非常危险的,当接收并保存被传送过来的文件时,即使不打开文件,也会触发缓冲区溢出缺陷。
这已经是在不到一个月的时间里雅虎公司的即时通讯软件中被发现的第二个缺陷。
eNet硅谷动力 高山流水编译