NCTAudioGrabber2 ActiveX控件栈溢出漏洞
发布日期:2008-05-29
更新日期:2008-05-30
受影响系统:Online Media Technologies NCTAudioGrabber2.dll
描述:
CVE(CAN) ID:
CVE-2008-0958
NCTAudioEditor是Online Media Technologies(之前名为NCT公司)推出的音频文件编辑工具,支持多种音频文件格式。
NCTAudioEditor所提供的NCTAudioGrabber2 ActiveX控件(NCTAudioGrabber2.dll)在处理某些属性或方式时存在栈溢出漏洞,如果用户受骗访问了恶意网页并传送了超长参数的话,就可以触发这些溢出,导致执行任意指令。
<*来源:Will Dormann
链接:
http://secunia.com/advisories/30414/
http://www.kb.cert.org/vuls/id/656593
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
* 在IE中禁用NCTAudioInformation2 ActiveX控件,为以下CLSID设置kill bit:
{34A261F9-FC34-47F8-A35C-75FB73BB1358}
或将以下文本保存为.REG文件并导入:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{34A261F9-FC34-47F8-A35C-75FB73BB1358}]
"Compatibility Flags"=dword:00000400
建议:
厂商补丁:
Online Media Technologies
-------------------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.avsmedia.com/浏览次数:2706
严重程度:0(网友投票)
