关键漏洞信息 漏洞标题 Multiple vulnerabilities in ICQ Toolbar 1.3 for Internet Explorer 发布日期 2006-09-07 最后更新 2006-09-06 漏洞ID CORE-2006-0322 安全风险级别 Medium 漏洞描述 远程配置漏洞: - 攻击者可以通过控制恶意网站来改变ICQ Toolbar的配置设置。 - 攻击者可以将恶意代码注入到用户的浏览器中。 恶意RSS Feed漏洞: - 攻击者可以利用恶意RSS Feed来注入脚本代码。 - 攻击者可以通过控制这些字段来执行脚本代码。 影响的软件包 ICQ Toolbar 1.3 for Internet Explorer 不受影响的软件包 ICQ Search Plugin for Mozilla / Firefox ICQ Toolbar 1.2 for Internet Explorer 解决方案和变通方法 用户应仔细检查任何用于配置ICQ Toolbar的基于Web的配置文件的来源。 推荐使用ICQ Toolbar 1.2,不具有RSS Feed功能。 发现者 Luciana Tabo, Lucas Lavarello, Sebastian Cufre, Ezequiel Gutesman and Javier Garcia Di Palma 技术描述 详细描述了攻击者如何利用配置接口和RSS Feed模块中的漏洞进行恶意操作。 绕过方法 建议用户移除或禁用ICQ Toolbar,或通过Windows控制面板卸载插件,或重命名安装目录中的 文件。