Lucene search
RootSSV:1090HistoryJan 04, 2007 - 12:00 a.m.
Rediff Bol Downloader允许文件下载及执行漏洞
2007-01-0400:00:00
Root
www.seebug.org
9
Rediff Bol是一款即时通信工具。
Rediff Bol的Downloader控件在处理文件下载时存在漏洞,远程攻击者可能利用此漏洞在用户机器上执行任意命令。
Rediff Bol的Downloader控件允许任意网页下载并执行任意位置的程序而不会对其过滤,在IE中执行远程的程序时会报警,但在执行本地程序时不会有提示。
Rediff Bol Downloader
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
<a href=“http://messenger.rediff.com/newbol/” target=“_blank”>http://messenger.rediff.com/newbol/</a>
Gregory R. Panakkal 提供了如下测试代码:
[OBJECT id="rboldwn" WIDTH=445 HEIGHT=40 classid="clsid:BADA82CB-BF48-4D76-9611-78E2C6F49F03" codebase="http://imdownloads.rediff.com/newbo