发布日期：2007-04-09
更新日期：2007-04-10

受影响系统：

AOL Instant Messenger <= 5.9
AOL ICQ 5.1

描述：

---

BUGTRAQ  ID: 23391
CVE(CAN) ID: CVE-2007-1904

AOL Instant Messenger和ICQ都是非常流行的即时消息客户端。

AOL AIM和ICQ即时通信软件在处理文件传输时存在漏洞，远程攻击者可能利用此漏洞在文件接收方的机器上指定目录中创建文件。

AIM和ICQ允许用户通过自定义协议共享和传输文件。在文件传输期间，发送者可以指定文件的显示名称及传输所使用的文件名；接收者仅可以指定保存文件的文件夹。由于一个输入验证错误，客户端没有正确地剥离文件名中的“../”遍历字符，因此攻击者可以通过特殊编码的路径在用户接受文件传输时强制将文件保存到指定的目录。

<*来源：iDEFENSE
  
  链接：http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=508
*>

建议：

---

厂商补丁：

AOL
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.aim.com/

浏览次数：3360
严重程度：0（网友投票）