小心迅雷下載漏洞

玩網游的朋友最怕木馬，因為它直接危害到賬戶安全。迅雷和木馬也能扯上關系?當然!現在不少木馬就是利用迅雷漏洞進駐系統的。罪魁禍首在于迅雷的各種組件，比如最近筆者遇到一例木馬，利用代碼中的信息“ClassID：(F3E7OCEA-956E-49CC-B444-73AFE593AD7F)”，出現在迅雷最新的產品迅雷看看(Pplayer.dll_l_work)的組件上(如圖1)，看看組件內的一個函數FIvPlayerUrl，存在邊界檢查不嚴格的問題，因此當向其傳遞過長參數時會導致程序溢出。當迅雷用戶在瀏覽到黑客精心構造的包含惡意代碼的網頁后，木馬程序就會在后臺下載并運行。由于迅雷安裝時將默認安裝迅雷看看的控件，所以所有安裝了迅雷的用戶都可能受到這個漏洞的影響。

黑客要想做這樣的入侵很簡單：首先需要準備好網游木馬，將其上傳到網絡空間中，這樣就可以獲得一個木馬的網頁鏈接?，F在運行最新的迅雷網木馬生成器，直接將木馬鏈接復制到“文件URL”選項，然后點擊“生成”按鈕即可創(chuàng)建出網頁木馬文件(如圖2)。現在將這個網頁木馬地址發(fā)布出去，或者掛在某個被入侵的網站的網頁上面即可。

防范迅雷漏洞的對策

迅雷的下載速度的確有優(yōu)勢，但隨著功能越來越多，今年已經接二連三地出現嚴重漏洞了，為了減小危害，用戶應注意以下幾點：

盡量不要安裝不用的各種組件，如果你僅僅是為了下載，可以在安裝迅雷時進行定制，也可以在網上下載一個DIY版的迅雷。另外，時常關注迅雷的更新以及迅雷漏洞的信息，及時修補。最后，在用迅雷下載時一定要小心，盡量下載正規(guī)下載站的內容，不要隨意下載用迅雷搜索到的不明來源的文件。