VULHUB ™

Yahoo! Messenger（雅虎通）是美国雅虎（Yahoo!）公司推出的一套即时聊天工具。 Yahoo! Messenger中的\"ymsgr：addview?\"功能存在漏洞，可导致远程攻击者进行跨站脚本执行攻击。 Yahoo! Messenger在安装时会配置\'\'ymsgr：\'\' URI句柄，在Win98系统下，注册表中为HKEY_LOCAL_MACHINE＼Software＼CLASSES＼ymsgr＼shell＼open＼command，默认值为\"＜Hard-drive：＼Directories＼＞YPAGER.EXE \\%1\"。此句柄调用接收\'\'addview\'\'等参数。 \"ymsgr：addview?\"允许用户增加URL内容到\"Content Tabs\"，并通过YIM来查看Web内容，YIM默认安装股票、天气、日历、新闻等相关Web内容。由于YIM对提交给\"ymsgr：addview?\"的Web内容缺少正确充分的检查，攻击者可以在Web页中插入脚本代码，当YIM用户使用此连接时，导致脚本代码被Yahoo! Instant Messenger，可导致用户基于Cookie认证的信息等泄露。

Yahoo! Messenger（雅虎通）是美国雅虎（Yahoo!）公司推出的一套即时聊天工具。 Yahoo! Messenger中的\"ymsgr：addview?\"功能存在漏洞，可导致远程攻击者进行跨站脚本执行攻击。 Yahoo! Messenger在安装时会配置\'\'ymsgr：\'\' URI句柄，在Win98系统下，注册表中为HKEY_LOCAL_MACHINE＼Software＼CLASSES＼ymsgr＼shell＼open＼command，默认值为\"＜Hard-drive：＼Directories＼＞YPAGER.EXE \\%1\"。此句柄调用接收\'\'addview\'\'等参数。 \"ymsgr：addview?\"允许用户增加URL内容到\"Content Tabs\"，并通过YIM来查看Web内容，YIM默认安装股票、天气、日历、新闻等相关Web内容。由于YIM对提交给\"ymsgr：addview?\"的Web内容缺少正确充分的检查，攻击者可以在Web页中插入脚本代码，当YIM用户使用此连接时，导致脚本代码被Yahoo! Instant Messenger，可导致用户基于Cookie认证的信息等泄露。