Yahoo! Instant Messenger存在脚本插入漏洞

发布时间：2002-05-31
更新时间：2002-05-31
严重程度：中
威胁程度：用户敏感信息泄露
错误类型：输入验证错误
利用方式：客户机模式

BUGTRAQ ID：4838

受影响系统

Yahoo! Messenger 5.0
   - Microsoft Windows 2000 Professional
   - Microsoft Windows 2000 Professional SP1
   - Microsoft Windows 2000 Professional SP2
   - Microsoft Windows 95
   - Microsoft Windows 98
   - Microsoft Windows ME
   - Microsoft Windows NT Workstation 4.0
   - Microsoft Windows NT Workstation 4.0 SP1
   - Microsoft Windows NT Workstation 4.0 SP2
   - Microsoft Windows NT Workstation 4.0 SP3
   - Microsoft Windows NT Workstation 4.0 SP4
   - Microsoft Windows NT Workstation 4.0 SP5
   - Microsoft Windows NT Workstation 4.0 SP6a
   - Microsoft Windows XP Home

详细描述
Yahoo! Messenger是YAHOO网络即时信息客户端。

其中处理ymsgr:addview?URL时存在漏洞，可以导致YAHOO MESSENGER指向包含脚本代码的WEB页面，当由YAHOO MESSENGER处理时可导致脚本代码在用户端执行，导致信息泄露。

测试代码
尚无

解决方案
使用如下程序：

Yahoo! Messenger 5.0:

Yahoo! Upgrade Messenger 5.0 Build 1065
http://download.yahoo.com/dl/installs/ymsgr/ymsgr_1065.exe
Build 1065.

相关信息
Phuong Nguyen <dphuong@yahoo.com>.
http://online.securityfocus.com/archive/1/274223

最近严重漏洞

Yahoo! Instant Messenger存在脚本插入漏洞