AOL Radio MediaPlaybackControl.exe AmpX ActiveX控件栈溢出漏洞
发布日期:2008-01-09
更新日期:2008-01-11
受影响系统:AOL AmpX.dll 2.6.1.11
不受影响系统:AOL AmpX.dll 2.6.2.6
描述:
BUGTRAQ ID:
27207
CVE(CAN) ID:
CVE-2007-6250
AOL的AmpX ActiveX控件是AOL Radio使用的用于播放网页中音频流的控件。
AmpX.dll所提供的AmpX ActiveX控件使用了名为AOLMediaPlaybackControl.exe的程序,而AOLMediaPlaybackControl中存在栈溢出漏洞。如果用户受骗访问了恶意网页并向AmpX ActiveX控件的AppendFileToPlayList()方式传送了超长参数的话,就可以触发这个溢出,导致执行任意指令。
<*来源:Will Dormann
链接:
http://secunia.com/advisories/28399/
http://www.kb.cert.org/vuls/id/568681
*>
建议:
临时解决方法:
* 在IE中禁用AmpX ActiveX控件,为以下CLSID设置kill bit:
{B49C4597-8721-4789-9250-315DFBD9F525}
{FA3662C3-B8E8-11D6-A667-0010B556D978}
或者将以下文本保存为.REG文件并导入:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{B49C4597-8721-4789-9250-315DFBD9F525}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FA3662C3-B8E8-11D6-A667-0010B556D978}]
"Compatibility Flags"=dword:00000400
厂商补丁:
AOL
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://music.aol.com/radioguide/bb/浏览次数:2611
严重程度:0(网友投票)
