Хакер #305. Многошаговые SQL-инъекции
1. Переполнение буфера
Yahoo! Messenger при установке конфигурирует URI обработчик 'ymsgr:'. Обработчик вызывает YPAGER.EXE
с переданными параметрами. YPAGER.EXE принимает параметр 'call'; он используется для запуска
функции 'Call Center'.
Переполнение буфера в 'Call Center' можно вызвать через специально сконструированный URI. Переполнение произойдет, если параметр
'call', переданный к YPAGER.EXE, будет более 268 байт.
ymsgr:call?+/аааа... более 286 символов/
Другие параметры также приводят к переполнению буфера (но параметр должен быть на 100 байтов больше):
ymsgr:sendim?+/aaaaaaa..... 368 байт/
ymsgr:chat?+/aaaaaa..... 368 байт/
ymsgr:addview?+/aaaaaa..... 368 байт/
ymsgr:addfriend?+/aaaaaa..... 368 байт/
Уязвимость может использоваться для удаленного выполнения произвольного кода на уязвимой системе.
2. Похищение учетной записи пользователя
URL, начинающиеся с "ymsgr:addview?" позволяют пользователям добавлять Web содержание Yahoo! к "Content Tabs" YIM для последующего просмотра в YIM, без web-браузера. YIM устанавливает по умолчанию настройки просмотра календаря, погоды, новостей и т.п.
Следующий URL демонстрирует уязвимость ( у вас должен быть установлен YaHoo! Messenger (YIM) интегрированный в Web браузер):
ymsgr:addview?http://rd.yahoo.com/messenger/?
http://viceconsulting.com/cons/servs/infosec/yimvul001/DemH0.htm
Уязвимость позволяет копировать почти любое содержание YIM ( в т.ч. и данные учетной записи) и вставлять произвольные сценарии, которые будут выполнены на YIM машине
пользователя.
Уязвимость обнаружена в Yahoo! Messenger 5.0.
