涉及程序:
MSN Chat Control
描述:
MSN Chat Control的Unchecked Buffer导致任意代码的执行
详细:
MSN Chat control 是微软网络在线服务提供的一个ActiveX控件,可从任何一个MSN 站点单独下载。
它被用来使不同用户登陆到Chat服务器后,聚集到一起,即进入同一个聊天室。
另外它也被包含在MSN Messenger 4.5 /4.6和Exchange Instant Messenger 4.5 / 4.6中。但MSN Chat control 包含在这些产品中,并不是用来提供即时信息的通讯功能,而是为了增加这些产品的聊天功能。
但由于在MSN Chat control 中存在一个unchecked buffer的漏洞,对用户输入的参数处理上的漏洞将可能导致系统运行攻击者的恶意代码。
攻击者要成功利用这个漏洞可通过恶意的web站点或HTML邮件来实现。
不过如果你注意了以下几点是可以有效控制此漏洞的:
·一个成功的攻击必须要被攻击者安装了MSN Chat control, MSN Messenger, 或Exchange Instant Messenger.
·任何版本的Windows 和 Internet Explorer缺省并没有安装 MSN Chat control.
·Windows XP 的Windows Messenger 并没有包含MSN Chat control. 除非用户特意从MSN站点安装了MSN Chat control。
中国网管论坛bbs.bitsCN.com
·对于 HTML 邮件的攻击,如果将 Outlook 98 and Outlook 2000 进行了正确地
安全升级将可以阻止这种攻击。 Outlook 2002和 Outlook Express 6.0不受此影响
Vulnerability identifier: CAN-2002-0155
微软测试了 the MSN Chat control, MSN Messenger 4.5 and 4.6 and Exchange Instant Messenger ,得出受此漏洞影响程度的列表如下:
Internet ServersIntranet Servers Client Systems
MSN Chat ControlLow LowCritical
MSN MessengerLow LowCritical
Exchange Instant Messenger Low LowCritical
受影响的软件:
· Microsoft MSN Chat Control
· Microsoft MSN Messenger 4.5 and 4.6(含有 MSN Chat control )
· Microsoft Exchange Instant Messenger 4.5 and 4.6(含有 MSN Chat control )
解决方案:
下载补丁:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=38790
中国网管联盟bitsCN.com
更新升级版本
· MSN Chat control:
http://chat.msn.com
· MSN Messenger with the corrected control:
http://messenger.msn.com/download/download.asp?client=1&update=1
· Exchange Instant Messenger with the corrected control:
http://www.microsoft.com/Exchange/downloads/2000/IMclient.asp
评论加载中…
