发布日期：2007-08-28
更新日期：2007-08-29

受影响系统：

Oracle JInitiator 1.1.8.16

描述：

---

BUGTRAQ  ID: 25473
CVE(CAN) ID: CVE-2007-4467

Oracle JInitiator允许用户在WEB浏览器中运行Oracle Developer Server应用程序。

JInitiator中所捆绑的名为beans.ocx的ActiveX控件中存在多个栈溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。

如果用户受骗访问了恶意网页的话，就可能触发这个溢出，导致在用户机器上执行任意指令。

<*来源：Will Dormann
  
  链接：http://secunia.com/advisories/26644/
        http://www.kb.cert.org/vuls/id/474433
        http://marc.info/?l=bugtraq&m=118961352004552&w=2
*>

建议：

---

临时解决方法：

在IE中为以下CLSID设置kill bit：
{9b935470-ad4a-11d5-b63e-00c04faedb18}

或者将以下文本保存为.REG文件并导入：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9b935470-ad4a-11d5-b63e-00c04faedb18}]
"Compatibility Flags"=dword:00000400

厂商补丁：

Oracle
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.oracle.com

浏览次数：3550
严重程度：0（网友投票）