【新聞】Yahoo IM進行漏洞升級（CNET）
 

Yahoo IM進行漏洞升級
CNET新聞專區：綜合外電報導　　08/12/2003




為了修補本周初發現的一個安全漏洞，雅虎(Yahoo)對其即時傳訊軟體進行升級。

雅虎聲稱這個安全問題是和緩衝溢位(buffer overrun)有關。這是在用C和C++語言編寫的電腦程式中常見的安全漏洞，這會讓超過設計量的資訊被存儲到記憶體中。

與即時傳訊相關的緩衝器溢出的典型問題包括IM不知不覺的斷線，流覽應用程式當掉以及可執行程式碼的侵入。由於程式碼能讓不懷好意的程式人員控制用戶的機器，刪除檔案和進行其他惡意破壞，所以最後這個潛在的問題將會產生最大的危害。

雅虎聲稱只有很少比例的IM用戶可能由於這個安全漏洞受到攻擊。那些把資源管理的層級設定從「中」改變到「低」的用戶會受到影響。雅虎聲稱即使出現這種情況，一個惡意攻擊者也必須引誘雅虎IM用戶查看惡意HTML程式碼才能生效，這通常是點選網頁連結。在把IE的安全設定等級改變到「低」之前，流覽器就會警告用戶他們的設定是「高度不安全」。雅虎聲稱還沒有聽到由於這個安全漏洞導致的攻擊事件的發生。

雅虎在上週四發佈了新款IM軟體，聲稱是從一個安全公告板中知道了這個安全漏洞。雅虎聲稱公司立即展開工作確認這個安全問題並進行安全評估。

今年年初，雅虎發佈了針對一個與此相似的安全漏洞的修正程式。


[url]http://taiwan.cnet.com/news/ce/0,2000062982,20086285,00.htm[/url]