发布日期：2004-01-08
更新日期：2004-01-12

受影响系统：

Yahoo! Messenger 5.6.0.1347
Yahoo! Messenger 5.6
Yahoo! Messenger 5.5.1355
Yahoo! Messenger 5.5.1249
Yahoo! Messenger 5.5
Yahoo! Messenger 5.0.1232
Yahoo! Messenger 5.0.1065
Yahoo! Messenger 5.0.1046
Yahoo! Messenger 5.0
Yahoo! Messenger 4.0

不受影响系统：

Yahoo! Messenger 5.6.0.1358
Yahoo! Messenger 5.6.0.1356
Yahoo! Messenger 5.6.0.1355

描述：

---

BUGTRAQ  ID: 9383
CVE(CAN) ID: CVE-2004-0043

Yahoo Instant Messenger是一款流行的即时聊天工具。

Yahoo Instant Messenger不正确处理特殊构建的超长文件名，远程攻击者可以利用这个漏洞进行缓冲区溢出攻击，可能以进程权限在系统上执行任意指令。

攻击者可以构建一个文件名超长的文件，然后发送给YIM用户，并要求用户下载，会导致YIM出现缓冲区溢出，精心构建文件名数据，可能以进程权限在系统上执行任意指令。

<*来源：Tri Huynh （trihuynh@zeeup.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=107357996802255&w=2
*>

建议：

---

厂商补丁：

Yahoo!
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载5.6.0.1355及以上版本：

http://messenger.yahoo.com/

浏览次数：2990
严重程度：0（网友投票）