今天,DSW Lab Avert小组监测到一个高度危险的新浪UC漏洞被公开披露,该漏洞是ActiveX控件的参数缺乏必要的验证,攻击者构造恶意网页,可以远程完全控制安装了Sina UC 的用户的计算机,如果被恶意利用,可以使得用户在浏览植入恶意代码的网页时,打开本地端口,远程植入木马到用户系统中.
目前新浪官方尚无反应
新浪UC是新浪的一款IM软件,新浪UC集传统即时通信软件功能于一体,融合P2P思想的新一代开放式网络即时通信娱乐软件,将有声有色、图文并茂的场景聊天模式,以及视频电话、可断点续传的文件传输、能够多人聊天的多人世界,消息群发功能和在线游戏功能以及同学录(团体)等有机结合,形成一个完整的网上即时通讯娱乐平台。
临时解决方案:
1、在厂商没有升级或推出相应的补丁之前,建议用户改用其它IM。
2、关闭和删除注册表中相关ActiveX注册条目。
3、安装超级巡警来即时监测木马。
注:该漏洞由Nevis Labs安全研究员 Sowhat 发现,更多详细信息:
http://www.nevisnetworks.com
http://secway.org/advisory/20070109EN.txt
http://secway.org/advisory/20070109CN.txt
版权所有:数据安全实验室
http://www.dswlab.com
http://www.unnoo.com
Copyright(c) DSW Lab All rights reserved
0 评论:
发表评论