Agent ActiveX控件存在畸形URL栈溢出漏洞_安全中国

发布日期：2007-09-11

更新日期：2007-09-12

受影响系统：

Microsoft Windows 2000SP4

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 25566

CVE(CAN) ID: CVE-2007-3040

Microsoft Windows是微软发布的非常流行的操作系统。

Windows系统所带的Agent ActiveX控件实现上存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。

Windows操作系统所安装的Microsoft Agent ActiveX控件用于使用动画人物引导用户了解如何使用计算机，该ActiveX控件注册如下：

文件：agentdpv.dll
ProgID：Agent.Control
CLASSID：D45FD31B-5C6E-11D1-9EC1-00C04FD7081F

Microsoft Agent控件处理某些特制URL的方式存在栈溢出漏洞，如果用户受骗访问了恶意网页的话攻击者就可以在受影响的系统上远程执行指令。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

<*来源：Yamata Li

链接：http://secunia.com/advisories/26753/

http://marc.info/?l=bugtraq&m=118953326322492&w=2

http://www.us-cert.gov/cas/techalerts/TA07-254A.html

http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=592

http://www.microsoft.com/technet/security/Bulletin/MS07-051.mspx?pf=true

建议：

--------------------------------------------------------------------------------

临时解决方法：

* 阻止在Internet Explorer中运行Agent ActiveX控件，将以下文本粘贴于记事本等文本编辑器中。然后，使用.reg文件扩展名保存文件并双击导入。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D45FD31B-
5C6E-11D1-9EC1-00C04FD7081F}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F5BE8BD2-
7DE6-11D0-91FE-00C04FD701A5}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4BAC124B-
78C8-11D1-B9A8-00C04FD97575}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D45FD31D-
5C6E-11D1-9EC1-00C04FD7081F}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D45FD31E-
5C6E-11D1-9EC1-00C04FD7081F}]

"Compatibility Flags"=dword:00000400

* 注销AgentSvr.exe，在命令行处或者在登录或计算机启动脚本中输入下列命令：

%windir%\msagent\agentsvr.exe /unregserver

* 将Internet Explorer配置为在Internet和本地Intranet安全区域中运行活动脚本之前进行提示。

* 将Internet和本地intranet安全区设置为“高”以在运行ActiveX控件和活动脚本之前要求提示。

厂商补丁：

Microsoft

---------

Microsoft已经为此发布了一个安全公告（MS07-051）以及相应补丁:

MS07-051：Vulnerability in Microsoft Agent Could Allow Remote Code Execution (938827)

链接：http://www.microsoft.com/technet/security/Bulletin/MS07-051.mspx?pf=true

补丁下载：

http://www.microsoft.com/downloads/details.aspx?FamilyId=7cd248ed-d154_4dce-89ef-ceefd2700965&displaylang=en