漏洞信息详情

Acer AcerCtrls.APlunch ActiveX控件不安全方式调用漏洞

• CNNVD编号：CNNVD-200908-274
• 危害等级： 超危
  
• CVE编号： CVE-2009-2627
• 漏洞类型： 代码注入
• 发布时间： 2009-08-19
• 威胁类型： 远程
• 更新时间： 2009-08-20
• 厂        商： acer
• 漏洞来源： Michael Costa

漏洞简介

AcerCtrls.APlunch是Acer笔记本默认所捆绑的一个ActiveX控件。

AcerCtrls.APlunch ActiveX控件(acerctrl.ocx)中包含有一个名为Run()的调用方式，该方式会取Drive和FileName两个参数。尽管这个控件本身没有通过IObjectSafety接口标记为safe for scripting，但通过适当的Implemented Categories注册表键发布可能导致将其标记为safe for scripting。这意味着在Internet Explorer中打开恶意网页可能导致调用控件的Run()方式。

漏洞公告

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.acer.com

参考网址

来源: US-CERT

名称: VU#485961

链接:http://www.kb.cert.org/vuls/id/485961

来源: XF

名称: acer-acerctrls-code-execution(52592)

链接:http://xforce.iss.net/xforce/xfdb/52592

来源: VUPEN

名称: ADV-2009-2299

链接:http://www.vupen.com/english/advisories/2009/2299

来源: SECTRACK

名称: 1022752

链接:http://www.securitytracker.com/id?1022752

来源: BID

名称: 36068

链接:http://www.securityfocus.com/bid/36068

来源: SECUNIA

名称: 36343

链接:http://secunia.com/advisories/36343

来源: OSVDB

名称: 57201

链接:http://osvdb.org/57201

受影响实体

• Acer Lunchapp.Aplunch  

补丁

暂无