以下消息来自幻影论坛[Ph4nt0m]邮件组。
 
献给大家一个SINA的UC漏洞。
详细内容见下面连接:
[url]http://www.netcicala.com/article/sort014/sort035/info-151.html[/url]
新浪UC是国内较早投入研发的即时通讯软件。新浪UC一直秉承创新的理念,不断推陈出新。新浪UC集传统即时通信软件功能于一体,融合P2P思想的新一×××放式­网络即时通信娱乐软件,将有声有色、图文并茂的场景聊天模式,以及视频电话、可断点续传的文件传输、能够多人聊天的多人世界,消息群发功能和在线游戏功能以及同­学录(团体)等有机结合,形成一个完整的网上即时通讯娱乐平台,满足人们日常工作和生活的需要,给大家带来边说、边看、边玩的网络生活全新感觉。
****************************************
UC语音/视频聊天室漏洞:
****************************************
漏洞描述:
在UC聊天室内具有管理员权限,可以让在聊天室内的所有开广播的用户执行任意程序,恶意发送者并执行WINDOWS系统内的任何程序如记事本/注册表编辑器/记­事本等等。
影响版本:
UC2005/2006。
漏洞补丁:
暂无。
补救措施:
屏蔽聊天室广播,并以文本形式显示广播。
严重程度:
**********非常严重***********
漏洞发现日期:
2005年11月
漏洞发现者:
网蝉
利用代码:
***者首先必须是聊天室的管理员,然后在聊天室内发送如下广播内容,则可使聊天室内所有聊友全部弹出CMD窗口。
<oBJECT classid="clsid:11111127-FC08-4373-8F54-1A02E3C15B7D" codebase="file://c:/windows/system32/cmd.exe"></oBJECT>
SINA 的UC的又一漏洞:
新浪UC是国内较早投入研发的即时通讯软件。新浪UC一直秉承创新的理念,不断推陈出新。新浪UC集传统即时通信软件功能于一体,融合P2P思想的新一×××放式­网络即时通信娱乐软件,将有声有色、图文并茂的场景聊天模式,以及视频电话、可断点续传的文件传输、能够多人聊天的多人世界,消息群发功能和在线游戏功能以及同­学录(团体)等有机结合,形成一个完整的网上即时通讯娱乐平台,满足人们日常工作和生活的需要,给大家带来边说、边看、边玩的网络生活全新感觉。
***************************************************************
UC语音/视频聊天室漏洞:
***************************************************************
漏洞描述:
首先在UC聊天室内要具有管理员权限,之后就可以在聊天时内发送漏洞利用代码,可以让在本聊天室内所有用户全部打开恶意发送者所指定的任意网站,如果网站内含有­网页***,则本聊天室所有用户将会全部中马。
影响版本/系统:
UC2005/2006。
漏洞补丁:
暂无。
补救措施:
屏蔽聊天室广播,并以文本形式显示广播。
漏洞发现者:
网蝉
漏洞发现日期:
2005年11月
***************************************************************
利用代码:
运行代码后, [url]http://www.netccicala.com/index.html[/url] 会被浏览器直接打开。如果网页中存在恶意代码,则聊天室内所有用户全部会被感染。
职场 漏洞 新浪 ***&安全

0

收藏

上一篇:路由器集成桥接路由(IRB)模式... 下一篇:Lotus Domino加密认证...
noavatar_middle.gif
beansprouts

207篇文章,89W+人气,2粉丝

noavatar_middle.gif

Ctrl+Enter 发布

发布

取消

推荐专栏更多

602d0cf94f108fd7ace3225fbc0b0be0.png
网络安全入门到实战,让SQLmap子弹飞一会儿

9本网络安全实战书籍精华

共23章 | simeon2005
¥51.00 830人订阅
订   阅
2810ca683899f6932ce0424b536b8992.png
Web网站安全评估分析及防御

企业级网安运维

共30章 | simeon2005
¥51.00 408人订阅
订   阅
629650e188ddde78b213e564c2e9ebff.jpg
负载均衡高手炼成记

高并发架构之路

共15章 | sery
¥51.00 507人订阅
订   阅

猜你喜欢

我的友情链接 说极路由牛逼的人们,你们用过Tomato DualWAN吗?(三) 我们不得不面对的中年职场危机 职场终极密籍--记我的职业生涯 我的IT职场生涯: 毕业4年,月薪过万 年薪从0到10万-我的IT职场经验总结 致IT同仁 — IT人士常犯的17个职场错误 “跳槽加薪”现象,无奈的职场规则 职场观察:高薪需要什么? 关于基本工作素养在职场当中的重要性 驾驭你的“职场布朗运动” 30-35岁职场规划深谈,字字戳心 Kali Linux安装dvwa本地shentou测试环境 道路千万条,安全第一条——一次服务器安全处理经过 Hydra破解SSH端口 浅谈QOS服务访问质量 Cisco防火墙基础介绍及配置 【SRX】RE与PFE策略不同步,导致Commit失败-----案例分析 蚁剑xss漏洞,获取者shell GandCrab5.0.9样本详细分析
f92360e227f9d91cdff7ea95120630ef.png
left-qr.jpg

扫一扫,领取大礼包

0

分享
qr-url?url=https%3A%2F%2Fblog.51cto.com%2Fnetwalk%2F67505
beansprouts
noavatar_middle.gif