出处：DSW Avert 时间：2007年01月09日

今天，DSW Lab Avert小组监测到一个高度危险的新浪UC漏洞被公开披露，该漏洞是ActiveX控件的参数缺乏必要的验证，攻击者构造恶意网页，可以远程完全控制安装了Sina UC 的用户的计算机，如果被恶意利用，可以使得用户在浏览植入恶意代码的网页时，打开本地端口，远程植入木马到用户系统中。

目前新浪官方尚无反映!

新浪UC是新浪的一款IM软件，新浪UC集传统即时通信软件功能于一体，融合P2P思想的新一代开放式网络即时通信娱乐软件，将有声有色、图文并茂的场景聊天模式，以及视频电话、可断点续传的文件传输、能够多人聊天的多人世界，消息群发功能和在线游戏功能以及同学录(团体)等有机结合，形成一个完整的网上即时通讯娱乐平台。

临时解决方案：

1、在厂商没有升级或推出相应的补丁之前，建议用户改用其它IM。

2、关闭和删除注册表中相关ActiveX注册条目。

3、安装超级巡警来即时监测木马。

注：该漏洞由Nevis Labs安全研究员 Sowhat 发现，更多详细信息：

http://www.nevisnetworks.com
http://secway.org/advisory/ad20070109EN.txt
http://secway.org/advisory/ad20070109CN.txt

最新消息：

2007年01月10日，新浪官方紧急升级，提供了安全补丁下载，下载地址：http://download.51uc.com/uc_download.shtml?tool_0