漏洞信息详情

AOL Instant Messenger通知窗口远程脚本执行漏洞

• CNNVD编号：CNNVD-200709-187
• 危害等级： 高危
  
• CVE编号： CVE-2007-4901
• 漏洞类型： 设计错误
• 发布时间： 2007-09-14
• 威胁类型： 远程
• 更新时间： 2007-09-17
• 厂        商： aol
• 漏洞来源： Lone Lone@Lone-Mat...

漏洞简介

AOL Instant Messenger是一款在线即时聊天工具。

AIM在处理消息窗口时存在漏洞，可能导致信息泄露及代码执行。

为了支持渲染HTML内容，AOL Instant Messaging软件客户端使用了嵌入的Internet Explorer服务器协议，但没有正确的过滤恶意输入内容，因此攻击者可以在IM消息中提供恶意的HTML内容来利用Internet Explorer的bug或安全配置弱点，导致注入并执行任意代码或伪造跨站请求。

漏洞公告

临时解决方法：

如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 找到以下注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Internet

Explorer\Main\FeatureControl\FEATURE_LocalMachine_Lockdown

添加REG_DWORD值命名为AIM客户端应用程序(如aim.exe)并设置为1。

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.aol.com/aim/home.HTML

参考网址

来源: BID

名称: 25659

链接:http://www.securityfocus.com/bid/25659

来源: BUGTRAQ

名称: 20070925 RE: CORE-2007-0817: Remote Command execution, HTML and Javascript injection vulnerabilities in AOL's Instant Messaging software

链接:http://www.securityfocus.com/archive/1/archive/1/480647/100/0/threaded

来源: BUGTRAQ

名称: 20070925 CORE-2007-0817: Remote Command execution, HTML and Javascript injection vulnerabilities in AOL's Instant Messaging software

链接:http://www.securityfocus.com/archive/1/archive/1/480587/100/0/threaded

来源: BUGTRAQ

名称: 20070914 AIM Local File Display in Notification Window

链接:http://www.securityfocus.com/archive/1/archive/1/479435/100/0/threaded

来源: BUGTRAQ

名称: 20070912 AIM Arbitrary HTML Display in Notification Window

链接:http://www.securityfocus.com/archive/1/archive/1/479199/100/0/threaded

来源: MISC

链接:http://www.coresecurity.com/index.php5?module=ContentMod&action=item&id=1924

来源: SREASON

名称: 3136

链接:http://securityreason.com/securityalert/3136

来源: SECUNIA

名称: 26786

链接:http://secunia.com/advisories/26786

来源: MISC

链接:http://aviv.raffon.net/2007/09/25/ReadyAIMFire.aspx

受影响实体

• Aol Aim_lite  
• Aol Aim_pro  
• Aol Instant_messenger:6.2.32.1  

补丁

暂无