发布日期：2007-08-15
更新日期：2007-08-21

受影响系统：

Lenovo Automated Solutions

不受影响系统：

Lenovo Automated Solutions fix pack 1

描述：

---

BUGTRAQ  ID: 25311
CVE(CAN) ID: CVE-2007-2928,CVE-2007-2929,CVE-2007-2240

Automated Solutions是联想和IBM电脑中所安装的ActiveX工具软件包。

Automated Solutions的ActiveX控件实现上存在格式串处理漏洞，远程攻击者可能利用此漏洞控制用户系统。

Automated Solutions软件包中所捆绑的acpRunner（AcpController.dll）ActiveX控件中存在格式串漏洞，没有正确地验证下载软件包的签名，也没有限制对某些域的危险操作。如果用户受骗打开了恶意的HTML文档的话，就可能允许用户执行任意指令。

<*来源：Karl Lynn
  
  链接：http://www.kb.cert.org/vuls/id/426737
        http://secunia.com/advisories/26482/
        http://www.kb.cert.org/vuls/id/570705
        http://www.kb.cert.org/vuls/id/599657
*>

建议：

---

临时解决方法：

在IE中禁用acpRunner ActiveX控件，为以下CLSID设置kill bit：

{E598AC61-4C6F-4F4D-877F-FAC49CA91FA3}

或者将以下文本保存为.REG文件并导入：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E598AC61-4C6F-4F4D-877F-FAC49CA91FA3}]
"Compatibility Flags"=dword:00000400

厂商补丁：

Lenovo
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www-307.ibm.com/pc/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-67649&velxr-layout=printLenovo

浏览次数：2521
严重程度：0（网友投票）