发布日期：2008-06-10
更新日期：2008-06-12

受影响系统：

BackWeb BackWeb 8.1.1.86
Logitech Desktop Manager 2.55

不受影响系统：

BackWeb BackWeb 8.1.1.87
Logitech Desktop Manager 2.56

描述：

---

BUGTRAQ  ID: 29558
CVE(CAN) ID: CVE-2008-0956

BackWeb Lite Install Runner（LiteInstActivator.dll）是用于在Windows系统上安装软件的ActiveX控件。

LiteInstActivator.dll控件捆绑于Logitech鼠标软件中的Logitech Desktop Messenger，该控件没有正确地验证某处参数的输入，如果用户受骗访问了恶意网页并传送了超长参数的话，就可能触发栈溢出，导致执行任意指令。

<*来源：Will Dormann
  
  链接：http://secunia.com/advisories/30598/
        http://www.kb.cert.org/vuls/id/216153
        http://backweb.com/news_events/press_releases/051608.php
        http://secunia.com/advisories/30625/
        http://www.microsoft.com/technet/security/bulletin/MS08-032.mspx?pf=true
*>

建议：

---

临时解决方法：

* 在IE中禁用BackWeb Lite Install Runner ActiveX控件，为以下CLSID设置kill bit：
{40F23EB7-B397-4285-8F3C-AACE4FA40309}

或者将以下文本保存为.REG文件并导入：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{40F23EB7-B397-4285-8F3C-AACE4FA40309}]
"Compatibility Flags"=dword:00000400

厂商补丁：

BackWeb
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://backweb.com/index.php

浏览次数：2363
严重程度：0（网友投票）