发布日期：2007-03-29
更新日期：2007-03-30

受影响系统：

IBM Lotus Sametime STJNILoader.ocx 3.10.26
IBM Lotus Sametime 7.0

不受影响系统：

IBM Lotus Sametime 7.5

描述：

---

BUGTRAQ  ID: 23201

IBM Lotus Sametime是一款实时在线会议解决方案。

Lotus Sametime的STJNILoader.ocx控件实现上存在输入验证漏洞，远程攻击者可能利用此漏洞控制用户机器。

Lotus Sametime产品的STJNILoader.ocx组件在在导出LoadLibrary函数时没有正确过滤输入，如果用户受骗浏览了恶意的WEB页面的话就可能导致执行任意指令。该控件使用以下类标识符：{7261EE42-318E-490A-AE8F-77649DBA1ECA}和{0B9C9C7D-ED81-4594-AFCB-FC5588125382}。

请注意即使没有安装Lotus Sametime产品的话，只要安装了STJNILoader.ocx系统就可能受这个漏洞影响。

<*来源：iDEFENSE
  
  链接：http://www-1.ibm.com/support/docview.wss?uid=swg21257029
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=495
*>

建议：

---

临时解决方法：

* 为上述CLSID设置kill-bit。

厂商补丁：

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www-1.ibm.com/support/docview.wss?uid=swg21257029

浏览次数：3740
严重程度：0（网友投票）