AOL Instant Messenger Getfile Screenname缓冲区溢出漏洞发布时间:2003-10-15 更新时间:2003-10-15 严重程度:中 威胁程度:普通用户访问权限 错误类型:边界检查错误 利用方式:客户机模式 BUGTRAQ ID:8825 受影响系统 AOL Instant Messenger 5.2.3292未影响系统 AOL Instant Messenger 5.5.3415 Beta详细描述 AOL Instant Messenger (AIM)安装后,会安装"aim"协议,这个协议允许在任意页面,通过"aim:operation?parameter"参数来装载。 其中包含的"getfile"操作对"screenname"参数缺少充分的边界缓冲区检查,精心构造恶意页面可导致产生缓冲区溢出。 测试代码 aim:getfile?screenname=[About 1130 chars] 解决方案 补丁下载: AOL Instant Messenger 5.2.3292: AOL Upgrade AIM 5.5.3415 Beta http://www.aim.com/get_aim/win/win_beta.adp 相关信息 AngryB <angryb@digitalpranksters.com> and KrazySnake <krazysnake@digitalpranksters.com>. 参考:http://www.digitalpranksters.com/advisories/aol/AIMProtocolBO.html |
