Cisco Unity ActiveX头ATL库对象远程代码执行漏洞

漏洞起因
设计错误
 
影响系统
Cisco Unity 7.0 ES8
Cisco Unity 7.0
Cisco Unity 5.0 ES53
Cisco Unity 5.0
Cisco Unity 4.0 ES161
Cisco Unity 4.0
 
不受影响系统
 
危害
远程攻击者可以利用漏洞以应用程序权限执行任意指令。
 
攻击所需条件
攻击者必须构建恶意WEB页,诱使用户打开。
 
漏洞信息
Cisco Unity是一款面向企业级机构的统一通信解决方案。
Cisco Unity使用的微软ATL库存在多个安全漏洞(http://www.microsoft.com/technet/security/Bulletin/MS09-035.mspx),攻击者可以利用漏洞构建恶意WEB页,诱使用户访问,可导致任意代码执行。
 
测试方法
 
厂商解决方案
目前没有详细解决方案提供:
 
漏洞提供者
Cisco