淘宝网旗下IM聊天工具阿里旺旺近日爆出远程代码执行漏洞，该漏洞如被攻击者获取将可在用户机器上执行任意命令，从而导致淘宝买家、卖家直接经济损失。杭州安恒信息技术有限公司安全团队于2月18日将相关漏洞信息在第一时间以报告形式发送给淘宝安全团队，为广大阿里旺旺用户挽回有可能出现的经济损失。

针对安恒信息提供的漏洞信息，淘宝安全团队已于当日修复该漏洞，并向广大用户发布该漏洞的修复补丁，由于该漏洞涉及到阿里旺旺2010正式版及老版本，造成的影响范围极广。鉴于该漏洞有可能已被黑客获取，还请广大阿里旺旺用户及时下载最新修复补丁，以免遭受攻击。

漏洞类型：远程代码执行

影响范围：阿里旺旺2010正式版及老版本

漏洞描述：阿里旺旺图像处理组件未能限制数据长度导致远程缓冲区溢出，远程攻击者如若成功利用此漏洞可在用户机器上执行任意命令。

安全建议：

广大阿里旺旺用户及时更新本机客户端软件版本，尽可能避免旧版本软件因安全风险造成的损失。软件厂家做好软件安全控制，通过自身或第三方安全厂家进行软件安全漏洞检测，避免给用户造成安全威胁。

升级信息：

买家版本下载地址：

http://download.wangwang.taobao.com/AliIm_taobao.php

卖家版本下载地址：

http://download.wangwang.taobao.com/AliIm_taobao_s.php

转自：http://www.enet.com.cn/article/2011/0228/A20110228831376.shtml