雅虎通(Yahoo Messenger)软件用户注意了,不要和陌生人聊天,特别是和陌生人进行视频聊天,刚刚从theregister网站看到一条消息,该消息称雅虎公司的即时通讯软件Yahoo Messenger存在一个严重的漏洞,该漏洞和ahoo Messenger的视频聊天功能有关,被称为“零日漏洞”(zero-day)。
发现Yahoo Messenger这个漏洞的是网络安全公司McAfee的研究人员,他们经过了一段时间的跟踪调查研究,已经掌握了足够的信息证实这个漏洞的存在。这个漏洞在Yahoo Messenger用户接受视频聊天时就会出现,攻击者能够利用远程注入的方式对Yahoo Messenger用户进行攻击,将恶意代码嵌入到Yahoo Messenger用户的计算机内部,从而达到控制Yahoo Messenger用户计算机的目的,对于Yahoo Messenger用户来说这个后果是非常严重的。目前,McAfee已经将这个漏洞的安全报告反馈给雅虎公司,雅虎公司也表示将尽快联手McAfee封堵该漏洞。
发现这个漏洞的研究人员是来自中国的王炜(Wei Wang)和他的同事,他首先在Yahoo Messenger软件的V8.1.0.413版本上发现了这个漏洞,这个“零日漏洞”属于“堆栈溢出漏洞”(Heap Overflow)的一种,危险非常的大,不过目前还没有发现任何关于这个漏洞的恶意代码程序,不过一旦该漏洞被黑客利用,相当的可怕。其实,Yahoo Messenger之前就颇有争议,网络安全公司eEye Digital Security早就指出,版本号为8的Yahoo Messenger软件存在多处漏洞,雅虎公司应该全面更新该软件。
针对Yahoo Messenger通讯软件出现的这个漏洞,McAfee公司的研究人员表示,在补丁程序还没有发布之前,做好以下两条防范工作是非常重要的:
(1)在雅虎公司的正式漏洞补丁发布之前,尽量不要和陌生人进行视频聊天。
(2)在雅虎公司的正式漏洞补丁发布之前,一定要关闭TCP 5100端口。