最新版本的雅虎通软件修复了一些严重的安全漏洞。攻击者能够利用这个安全漏洞在目标计算机上运行恶意代码。由于一些安全专家跟踪到了利用这个安全漏洞代码的实例，雅虎发布了这个软件的升级版本。

　　SANS互联网风暴中心星期日在其网站上对另一个利用雅虎安全漏洞的代码发布了警告。该中心的管理者Bojan Zdrnja在网站上写道，雅虎通用户应该立即升级。替代的方法是关闭受影响的ActiveX控件。

　　这个安全漏洞是上个星期首次曝光的。当时，位于加州Aliso Viejo的eEye数字安全公司发布了一个关于雅虎通软件存在多个安全漏洞的警告，说这些安全漏洞只需要用户很少的参与就能让攻击者在用户计算机上执行任意代码。

　　丹麦安全漏洞清除公司Secunia在自己的安全公告中进一步解释了这个安全漏洞，说这个安全漏洞是雅虎网络摄像机上载(ywcupl.dll)的ActiveX控件出现的一个边界错误引起的。攻击者可以利用这个安全漏洞引起基于堆栈的缓存溢出故障，其方法是向“服务器”属性发送一个很长的字符串，然后调用“send()”函数。另一个安全漏洞是雅虎网络摄像机查看器(ywcvwr.dll)中的 ActiveX控件中的一个边界错误。攻击者通过向这个“服务器”属性分配一个长字符串，然后调用“receive()”函数就可以利用这个安全漏洞引起机遇堆栈的缓存溢出故障。

　　Secunia称，这个安全漏洞影响雅虎通8.1.0.249版。该公司建议用户关闭受影响的ActiveX控件来缓解这个问题，或者采取更好的方法，也就是安装升级版本的雅虎通。

TechTarget独家授权，严禁转载

点击此处查看本文国际来源