漏洞信息详情
AOL Instant Messenger通知窗口远程脚本执行漏洞
- CNNVD编号:CNNVD-200709-187
- 危害等级: 高危
- CVE编号: CVE-2007-4901
- 漏洞类型: 设计错误
- 发布时间: 2007-09-14
- 威胁类型: 远程
- 更新时间: 2007-09-17
- 厂 商: aol
- 漏洞来源: Lone Lone@Lone-Mat...
漏洞简介
AOL Instant Messenger是一款在线即时聊天工具。
AIM在处理消息窗口时存在漏洞,可能导致信息泄露及代码执行。
为了支持渲染HTML内容,AOL Instant Messaging软件客户端使用了嵌入的Internet Explorer服务器协议,但没有正确的过滤恶意输入内容,因此攻击者可以在IM消息中提供恶意的HTML内容来利用Internet Explorer的bug或安全配置弱点,导致注入并执行任意代码或伪造跨站请求。
漏洞公告
临时解决方法:
如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 找到以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Internet
Explorer\Main\FeatureControl\FEATURE_LocalMachine_Lockdown
添加REG_DWORD值命名为AIM客户端应用程序(如aim.exe)并设置为1。
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.aol.com/aim/home.HTML
参考网址
来源: BID
名称: 25659
链接:http://www.securityfocus.com/bid/25659
来源: BUGTRAQ
名称: 20070925 RE: CORE-2007-0817: Remote Command execution, HTML and Javascript injection vulnerabilities in AOL's Instant Messaging software
链接:http://www.securityfocus.com/archive/1/archive/1/480647/100/0/threaded
来源: BUGTRAQ
名称: 20070925 CORE-2007-0817: Remote Command execution, HTML and Javascript injection vulnerabilities in AOL's Instant Messaging software
链接:http://www.securityfocus.com/archive/1/archive/1/480587/100/0/threaded
来源: BUGTRAQ
名称: 20070914 AIM Local File Display in Notification Window
链接:http://www.securityfocus.com/archive/1/archive/1/479435/100/0/threaded
来源: BUGTRAQ
名称: 20070912 AIM Arbitrary HTML Display in Notification Window
链接:http://www.securityfocus.com/archive/1/archive/1/479199/100/0/threaded
来源: MISC
链接:http://www.coresecurity.com/index.php5?module=ContentMod&action=item&id=1924
来源: SREASON
名称: 3136
链接:http://securityreason.com/securityalert/3136
来源: SECUNIA
名称: 26786
链接:http://secunia.com/advisories/26786
来源: MISC
链接:http://aviv.raffon.net/2007/09/25/ReadyAIMFire.aspx
受影响实体
- Aol Aim_lite
- Aol Aim_pro
- Aol Instant_messenger:6.2.32.1
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论