Trillian XML解析器内存释放漏洞

漏洞介绍

Trillian是一个聊天程序，和多种即时通讯程序使用相同的接口，包括AIM、ICQ、Yahoo! Messenger、MSN Messenger和IRC。

在Trillian 3.1.12.0以前版本的XML解析器中存在两次内存释放漏洞，这允许远程攻击者通过一个特制的XML表达式来执行任意的代码，这可能与\"IMG SRC ID.\"有关。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://blog.ceruleanstudios.com/?p=404

来源: XF

名称: trillian-xml-code-execution(47098)

链接：http://xforce.iss.net/xforce/xfdb/47098
来源: MISC

链接：http://www.zerodayinitiative.com/advisories/ZDI-08-078
来源: SECTRACK

名称: 1021334

链接：http://www.securitytracker.com/id?1021334
来源: BID

名称: 32645

链接：http://www.securityfocus.com/bid/32645
来源: BUGTRAQ

名称: 20081205 ZDI-08-078: Trillian IMG SRC ID Memory Corruption Vulnerability

链接：http://www.securityfocus.com/archive/1/archive/1/498933/100/0/threaded
来源: VUPEN

名称: ADV-2008-3348

链接：http://www.frsirt.com/english/advisories/2008/3348
来源: SREASON

名称: 4701

链接：http://securityreason.com/securityalert/4701
来源: SECUNIA

名称: 33001

链接：http://secunia.com/advisories/33001
来源: OSVDB

名称: 50473

链接：http://osvdb.org/50473