BUGTRAQ ID: 30551
CVE(CAN) ID: CVE-2008-0082
Windows Messenger是Windows操作系统中默认捆绑的即时聊天工具。
在安装Windows XP的时候会自动安装旧版本的MSN Messenger,这个版本打开MSN API运行ActiveX控件Messenger.UIAutomation.1并标记为safe。对这个控件执行脚本操作可能导致以登录用户的环境泄露信息。攻击者可以在登录用户不知情的情况下更改状态、获取联系人信息以及启动音频和视频聊天会话,还可以捕获用户的登录ID并以该用户的身份远程登录用户的Messenger客户端。
即使安装了高版本的MSN Messenger(Windows Live Messenger),仍不会删除有漏洞的ActiveX控件。
Microsoft Windows Messenger 5.1
Microsoft Windows Messenger 4.7
临时解决方法:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility{B69003B3-C55E-4b48-836C-BC5946FC3B28}]
"Compatibility Flags"=dword:00000400
厂商补丁:
Microsoft已经为此发布了一个安全公告(MS08-050)以及相应补丁:
MS08-050:Vulnerability in Windows Messenger Could Allow Information Disclosure (955702)
链接:<a href=“http://www.microsoft.com/technet/security/bulletin/MS08-050.mspx?pf=true” target=“_blank”>http://www.microsoft.com/technet/security/bulletin/MS08-050.mspx?pf=true</a>