千千静听的一个远程溢出漏洞今日被披露。
千千静听使用的是 libmod 来进行 mod 类文件格式的处理, 此库在 ReadMed 函数中，没有检查文件描述的长度，如果传递一个恶意构造的值，将导致堆溢出。现在采用libmod 软件很多，都应该存在此问题。最新的千千静听提供了 ax, 在 IE 中触发此漏洞。会导致 IE 崩溃。

poc可以在这里看到

http://hi.baidu.com/dummy24/blog ... 793512fcfa3c3b.html

这也就是为什么IE的Active X 微软自己都不太愿意的原因。
还是Firefox这种沙盒模式好

我用的是foobar

千千皮肤需要变革了

Windows Update网页用的是什么技术？

我用Winamp。

vista和2008的windows update用的就不是activeX

已经好多年没用WINAMP，这几年就只用千千静听和foobar.

winamp鉴定的飘过

试问千千的经典皮肤是什么，试问哪个音频插件是为他专门开发的？

4000

是不是你J.J里附带着Winamp，看见有千千静听的电脑就把J.J插到USB



借口里实现自动删除千千同时安装Winamp，简称便捷Winamp版J.J

千千静听又多了一项强大功能...

几年的时候是有Winamp，现在都用千千～

真好用～～

静听的音质不敢恭维

终于出现了，看来外国的高手根本不懈研究tt，中国的高手到现在才发现。

天朝被打破了吧，不要自吹自擂，要脚踏实地才能做好软件。

从来不用winamp，看到谁的电脑上有这个马上就把他删了装饰千千静听