发布日期：2007-06-18
更新日期：2007-06-19

受影响系统：

Cerulean Studios Trillian 3.1.5.1

不受影响系统：

Cerulean Studios Trillian 3.1.6.0

描述：

---

BUGTRAQ  ID: 24523

Trillian是一个聊天程序，和多种即时通讯程序使用相同的接口，包括AIM、ICQ、Yahoo! Messenger、MSN Messenger和IRC。

Trillian在处理畸形的UTF-8编码数据时存在漏洞，远程攻击者可能利用此漏洞控制用户机器。

Trillian没有正确地处理UTF-8序列，在对UTF-8文本执行文字换行时，错误的将窗口的宽度用作了缓冲区大小的值，因此可能会触发堆溢出。如果用户在聊天客户端中浏览了包含有特制UTF-8字符串的恶意消息的话，就可能触发这个溢出，导致执行任意指令。

<*来源：www.BlurredLogic.com
  
  链接：http://blog.ceruleanstudios.com/?p=150
        http://secunia.com/advisories/25736/
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=545
*>

建议：

---

厂商补丁：

Cerulean Studios
----------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://cerulean.cachenetworks.com/trillian-v3.1.6.0.exe

浏览次数：2551
严重程度：0（网友投票）