本月中旬安全研究员透露了2个流行的Windows即时消息服务——Yahoo Messenger和Trillian——客户端上的关键性漏洞。

　　被Rajesh Sethumadhavan公布在Full Disclosure mailing list上的雅虎Messenger缺陷，是一个利用特殊的手工地址名册登录条目就可使用的缓冲溢出漏洞。Sethumadhavan说，当Messenger遇到不正当的登录时就会立刻死机，但它依然可被源代码执行，也就是说，黑客很有可能在受攻击的计算机中加入自己的恶意的代码，比如按键式窃取资料或者垃圾广告等。

　　尽管雅虎公司还没有公布漏洞相应的补丁，周二晚些时候公司女发言人表示安全小组正在全力工作，并在不久之后就会有一个成果。

　　另一位研究员透露， 多服务客户端Trillian也有2个漏洞。

　　由Nate Mcfeters、Billy "BK" Rios、Raghav "The Pope" Dube组成的3人小组在处理统一资源标志符时确认在Trillian上有2个漏洞，据Mcfeters, Rios and Dube透露，该漏洞与之前引起骚动的Internet Explorer/Firefox漏洞相似。

　　在以上3个报告中有两个例子：第一个展示了通过未过虑的变量来编制已经注册的URIs(这一点跟firefoxurl漏洞非常类似)是非常危险的，第二个展示了尽管浏览器(在最初时)清洗了变量，许多操作仍然可以通过注册的URIs和很低劣的开发实践就可以执行，

　　昨天US-CERT也发出了他们自己警告，该漏洞在Trillian 3.1.6.0上已经被证实，又加入了基于哥本哈根漏洞追踪系统Secunia APS，这使得该漏洞问题非常紧迫，已经达到第二重要的等级。

　　Trillian网站开发者Cerulean Studios仍没有表现出即将开发出Trillian漏洞补丁的迹象。