受影响系统:
Kaspersky Labs Online Scanner 5.0.93.1
Kaspersky Labs Online Scanner 5.0.93.0
不受影响系统:
Kaspersky Labs Online Scanner 5.0.98.0
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 26004
CVE(CAN) ID: CVE-2007-3675
Kaspersky Online Scanner是免费的在线病毒扫描服务,允许用户通过Web浏览器扫描恶意代码。
Kaspersky Online Scanner所带的ActiveX控件实现上存在格式串处理漏洞,远程攻击者可能利用此漏洞控制客户端系统。
Kaspersky Online Scanner所安装的以下在线病毒扫描ActiveX控件:
ProgID:kavwebscan.CKAVWebScan
ClassID:0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75
文件:kavwebscan.dll |
将攻击者所提供的数据传输为各种格式串函数的参数以便显示HTML页面中的本地化信息。如果使用这个ActiveX控件渲染了特制页面的话,就可能触发堆溢出,导致执行任意指令。
<*来源:Stephen Fewer
链接:http://www.kaspersky.com/news?id=207575572
http://secunia.com/advisories/27187/
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=606
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Kaspersky Labs
--------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.kaspersky.com/
安全中国首页 > 新闻中心 > 其他漏洞