发布日期：2007-06-19
更新日期：2007-06-21

受影响系统：

迅雷公司 Web迅雷 < 1.7.3.109

不受影响系统：

迅雷公司 Web迅雷 1.7.3.109

描述：

---

BUGTRAQ  ID: 24552
CVE(CAN) ID: CVE-2007-3296

Web迅雷是迅雷公司最新推出的一款基于多资源多线程技术的下载工具。

Web迅雷中所使用的ThunderServer.webThunder.1 ActiveX控件中存在安全漏洞，恶意Web站点可能利用此漏洞控制用户机器。

如果用户受骗浏览了恶意站点的话，该控件中的SetBrowserWindowData、SetConfig、HideBrowserWindow、AddTask、SearchTask和OpenFile函数就会导致下载并运行木马程序，从而完全控制用户系统。目前这个漏洞正在被积极的利用。

<*来源：Sobiny[BCT]
  
  链接：http://www.dswlab.com/vir/v20070530.html
*>

建议：

---

厂商补丁：

迅雷公司
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://my.xunlei.com/setup.htm

浏览次数：2895
严重程度：0（网友投票）