大虫

14号安全焦点(http://www.securityfocus.com)爆了一个ICQ远程执行漏洞，DNS劫持导致恶意文件执行，谈这个漏洞的成因得从ICQ的更新流程说起: 1. ICQ发起一个更新查询请求http://update.icq.com/cb/icq6/30009/0/updates.xml 2. 分析版本号是否大于本地版本 3. 如果大于则download补丁ZIP包 4. 解压补丁文件，替换旧程序。 通常客户端类软件更新补丁都是这么个流程，从程序开发者的角度看没什么问题，可是在众黑帽、白帽的眼里就不是这样，下细分析就会发现整个流程中不够严谨的地方。