漏洞信息详情

联想Automated Solutions ActiveX控件签名验证漏洞

• CNNVD编号：CNNVD-200708-240
• 危害等级： 高危
  
• CVE编号： CVE-2007-2240
• 漏洞类型： 资料不足
• 发布时间： 2007-08-15
• 威胁类型： 远程
• 更新时间： 2007-08-16
• 厂        商： lenovo
• 漏洞来源： Karl Lynn

漏洞简介

Automated Solutions是联想和IBM电脑中所安装的ActiveX工具软件包。

Automated Solutions的ActiveX控件实现上存在格式串处理漏洞，远程攻击者可能利用此漏洞控制用户系统。

Automated Solutions软件包中所捆绑的acpRunner(AcpController.dll)ActiveX控件中存在格式串漏洞，没有正确地验证下载软件包的签名，也没有限制对某些域的危险操作。如果用户受骗打开了恶意的HTML文档的话，就可能允许用户执行任意指令。

漏洞公告

临时解决方法：

在IE中禁用acpRunner ActiveX控件，为以下CLSID设置kill bit：

{E598AC61-4C6F-4F4D-877F-FAC49CA91FA3}

或者将以下文本保存为.REG文件并导入：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E598AC61-4C6F-4F4D-877F-FAC49CA91FA3}]

"Compatibility Flags"=dword:00000400

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

Lenovo

------

http://www-307.ibm.com/pc/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-67649&velxr-layout=printLenovo

参考网址

来源: US-CERT

名称: VU#570705

链接:http://www.kb.cert.org/vuls/id/570705

来源: BID

名称: 25311

链接:http://www.securityfocus.com/bid/25311

来源: MS

名称: MS07-045

链接:http://www.microsoft.com/technet/security/bulletin/ms07-045.mspx

来源: www-307.ibm.com

链接:http://www-307.ibm.com/pc/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-67649

来源: OSVDB

名称: 39555

链接:http://osvdb.org/39555

来源: XF

名称: ibm-lenovo-acprunner-code-execution(36028)

链接:http://xforce.iss.net/xforce/xfdb/36028

来源: VUPEN

名称: ADV-2007-2882

链接:http://www.frsirt.com/english/advisories/2007/2882

来源: SECUNIA

名称: 26482

链接:http://secunia.com/advisories/26482

受影响实体

• Lenovo Automated_solutions:1.0  
• Lenovo Access_support  

补丁

暂无