Google Talk http和mailto远程代码注入漏洞

2008-06-28T00:00:00
ID SSV:3483
Type seebug
Reporter Root
Modified 2008-06-28T00:00:00

Description

BUGTRAQ ID: 29946

Google Talk是一款流行的即时通讯软件,允许直接与其他的计算机用户进行语音对话。

GTalk没有正确地验证用户在聊天对话窗口中所提交的http和mailto,如果可信任的联系人在对话窗口中提交了特制的URL或mailto地址的话,就会导致在对方的机器上注入并执行HTML代码,或执行跨站脚本攻击。

Google Talk 1.0.0.105 Google


目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

<a href=http://www.google.com target=_blank>http://www.google.com</a>

                                        
                                            
                                                http://&quot;&gt;&lt;h1&gt;Lostmon&lt;/h1&gt;
http://&quot;&gt;&lt;script&gt;alert()&lt;/script&gt;
mailto:&quot;&gt;&lt;script&gt;alert()&lt;/script&gt;