发布日期：2008-06-25
更新日期：2008-06-26

受影响系统：

Google Talk 1.0.0.105

描述：

---

BUGTRAQ  ID: 29946

Google Talk是一款流行的即时通讯软件，允许直接与其他的计算机用户进行语音对话。

GTalk没有正确地验证用户在聊天对话窗口中所提交的http和mailto，如果可信任的联系人在对话窗口中提交了特制的URL或mailto地址的话，就会导致在对方的机器上注入并执行HTML代码，或执行跨站脚本攻击。

<*来源：Lostmon （lostmon@gmail.com）
  
  链接：http://lostmon.blogspot.com/2008/06/gtalk-100105-html-injection-and.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://"><h1>Lostmon</h1>
http://"><script>alert()</script>
mailto:"><script>alert()</script>

建议：

---

厂商补丁：

Google
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.google.com

浏览次数：2789
严重程度：0（网友投票）