Kaspersky 在线扫描控件远程格式串漏洞
日期:2008-2-1 14:38:35 人气: 出处:落伍论坛 作者:拒绝游泳的鱼 [大 中 小]
更新日期:2007-10-11 受影响系统: Kaspersky Labs Online Scanner 5.0.93.1 Kaspersky Labs Online Scanner 5.0.93.0 不受影响系统: Kaspersky Labs Online Scanner 5.0.98.0 描述: -------------------------------------------------------------------------------- BUGTRAQ ID: 26004 CVE(CAN) ID: CVE-2007-3675 Kaspersky Online Scanner是免费的在线病毒扫描服务,允许用户通过Web浏览器扫描恶意代码。 Kaspersky Online Scanner所带的ActiveX控件实现上存在格式串处理漏洞,远程攻击者可能利用此漏洞控制客户端系统。 Kaspersky Online Scanner所安装的以下在线病毒扫描ActiveX控件:
将攻击者所提供的数据传输为各种格式串函数的参数以便显示HTML页面中的本地化信息。如果使用这个ActiveX控件渲染了特制页面的话,就可能触发堆溢出,导致执行任意指令。 <*来源:Stephen Fewer 链接:http://www.kaspersky.com/news?id=207575572 http://secunia.com/advisories/27187/ http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=606 *> 建议: -------------------------------------------------------------------------------- 厂商补丁: Kaspersky Labs -------------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.kaspersky.com/ (责任编辑:李磊) |
| 上一篇:IBM DB2数据库缓冲区溢出及拒绝服务漏洞 |
| 下一篇:OpenBSD DHCPD 服务程序远程栈溢出漏洞 |