漏洞信息详情
联想Automated Solutions ActiveX控件签名验证漏洞
- CNNVD编号:CNNVD-200708-240
- 危害等级: 高危
- CVE编号: CVE-2007-2240
- 漏洞类型: 资料不足
- 发布时间: 2007-08-15
- 威胁类型: 远程
- 更新时间: 2007-08-16
- 厂 商: lenovo
- 漏洞来源: Karl Lynn
漏洞简介
Automated Solutions是联想和IBM电脑中所安装的ActiveX工具软件包。
Automated Solutions的ActiveX控件实现上存在格式串处理漏洞,远程攻击者可能利用此漏洞控制用户系统。
Automated Solutions软件包中所捆绑的acpRunner(AcpController.dll)ActiveX控件中存在格式串漏洞,没有正确地验证下载软件包的签名,也没有限制对某些域的危险操作。如果用户受骗打开了恶意的HTML文档的话,就可能允许用户执行任意指令。
漏洞公告
临时解决方法:
在IE中禁用acpRunner ActiveX控件,为以下CLSID设置kill bit:
{E598AC61-4C6F-4F4D-877F-FAC49CA91FA3}
或者将以下文本保存为.REG文件并导入:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E598AC61-4C6F-4F4D-877F-FAC49CA91FA3}]
"Compatibility Flags"=dword:00000400
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
Lenovo
------
http://www-307.ibm.com/pc/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-67649&velxr-layout=printLenovo
参考网址
来源: US-CERT
名称: VU#570705
链接:http://www.kb.cert.org/vuls/id/570705
来源: BID
名称: 25311
链接:http://www.securityfocus.com/bid/25311
来源: MS
名称: MS07-045
链接:http://www.microsoft.com/technet/security/bulletin/ms07-045.mspx
来源: www-307.ibm.com
链接:http://www-307.ibm.com/pc/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-67649
来源: OSVDB
名称: 39555
链接:http://osvdb.org/39555
来源: XF
名称: ibm-lenovo-acprunner-code-execution(36028)
链接:http://xforce.iss.net/xforce/xfdb/36028
来源: VUPEN
名称: ADV-2007-2882
链接:http://www.frsirt.com/english/advisories/2007/2882
来源: SECUNIA
名称: 26482
链接:http://secunia.com/advisories/26482
受影响实体
- Lenovo Automated_solutions:1.0
- Lenovo Access_support
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论