作者:刘彦青

　　【赛迪网讯】4月26日消息，雅虎公司已经发布了新版MusicMatchJukebox多媒体软件，修正了几个可能使用户受到缓冲区溢出缺陷攻击的安全漏洞。

　　在发布的网络公告中，雅虎公司强烈建议用户升级到新版本，避免受到代码执行和跨站点脚本攻击。公告指出，缓冲区溢出缺陷和跨站点脚本缺陷的潜在影响包括数据泄露、需要重新安装软件、使IE等软件崩溃。

　　这些缺陷被安全专业厂商Secunia公司评定为“中度危急”。雅虎公司表示，目前还没有用户受到这些缺陷影响的报告。

　　受影响的版本包括MusicMatch Jukebox for WindowsXP10.00.2047及更早的版本，升级版本包括非Windows-XP平台上的版本。

　　向雅虎公司报告这些缺陷的Hyperdose安全公司发布了4份独立的缺陷警告公告和概念证明代码。该公司的研究人员罗伯特说，最严重的缺陷出现在名为DiagCollectionControl.dll的ActiveX控件中。黑客可以利用该缺陷，向安全路径传递一个恶意的值，引起特定的文件被覆盖。由于可能被删除的文件没有什么限制，因此这一缺陷更危险。

　　为了保护用户，雅虎公司已经删除了DiagCollectionControl.dll中的Safe for ting或SafeforInitialization界面。

　　罗伯特还公布了能够被用于引起缓冲区溢出缺陷的边界错误和MusicMatchJukebox中登录信息和文件存储方式引起的缺陷的详细资料。（来源：赛迪网）