Google Talk http和mailto远程代码注入漏洞
发布日期:2008-06-25
更新日期:2008-06-26
受影响系统:
Google Talk 1.0.0.105
描述:BUGTRAQ ID: 29946
Google Talk是一款流行的即时通讯软件,允许直接与其他的计算机用户进行语音对话。
GTalk没有正确地验证用户在聊天对话窗口中所提交的http和mailto,如果可信任的联系人在对话窗口中提交了特制的URL或mailto地址的话,就会导致在对方的机器上注入并执行HTML代码,或执行跨站脚本攻击。
链接:http://lostmon.blogspot.com/2008/06/gtalk-100105-html-injection-and.html
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://">
http://">[script]alert()[/script]
mailto:">[script]alert()[/script]
建议: 厂商补丁:
Google
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://talk.google.com
更新日期:2008-06-26
受影响系统:
Google Talk 1.0.0.105
描述:BUGTRAQ ID: 29946
Google Talk是一款流行的即时通讯软件,允许直接与其他的计算机用户进行语音对话。
GTalk没有正确地验证用户在聊天对话窗口中所提交的http和mailto,如果可信任的联系人在对话窗口中提交了特制的URL或mailto地址的话,就会导致在对方的机器上注入并执行HTML代码,或执行跨站脚本攻击。
链接:http://lostmon.blogspot.com/2008/06/gtalk-100105-html-injection-and.html
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://">
Lostmon
http://">[script]alert()[/script]
mailto:">[script]alert()[/script]
建议: 厂商补丁:
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://talk.google.com
- 设计能向 Apple 学什么?. 2007-11-01 03:50
- 中国黑客10年 2007-11-01 05:15
- 通过对HDWiki程序代码分析. 2007-10-28 21:40
- About 2007-10-19 13:23
- 交换友情连接 2007-10-19 19:38
- 漏洞的形成和防治 2007-10-27 15:22
- 安全漏洞 2007-10-25 20:39
- 各种网站程序的默认数据库. 2007-10-27 22:33
- ASP常见的安全漏洞 2007-10-27 17:03
- 四大漏洞可轻松入侵博客. 2007-10-25 22:50
- 如何成为一名黑客 2007-11-16 15:46
- 帮助 2007-10-19 13:55
