Security Lab

Выполнение произвольных сценариев в Yahoo Messenger

Дата публикации:02.02.2007
Всего просмотров:2143
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Yahoo! Messenger 8.x
Уязвимые версии: Yahoo Messenger 8.1.0.209, возможно более ранние версии.

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за недостаточной обработки данных в полях "First Name", "Last Name" и "Nickname" в опции "Contact Details" при отображении сообщения о статусе пользователя в окне чата. Злоумышленник может выполнить произвольный код сценария в контексте зоны Local Zone (My Computer) посредством тегов, вставляющих графическое изображение, в вышеуказанные поля и меня свой статус, например с "Available" на "Invisible To Everyone". Для успешной эксплуатации уязвимости атакующий должен быть в контактном листе жертвы.

URL производителя: messenger.yahoo.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Cross-site Scripting with Local Privilege Vulnerability in Yahoo Messenger