发布日期：2008-12-09
更新日期：2008-12-10

受影响系统：

Microsoft FrontPage 2002 SP3
Microsoft Project 2003 SP3
Microsoft Visual Basic 6.0
Microsoft Visual FoxPro 9.0 SP2
Microsoft Visual FoxPro 9.0 SP1
Microsoft Visual FoxPro 8.0 SP1

描述：

---

BUGTRAQ  ID: 32592
CVE(CAN) ID: CVE-2008-4253

Visual Basic是用来创建高性能的企业应用程序及基于Web的应用程序的工具。

Visual Basic所安装的FlexGrid ActiveX控件（msflxgrd.ocx）在处理恶意输入参数时存在内存破坏漏洞。攻击者可以通过构造特制网页来利用该漏洞，当用户查看网页时，就可以触发这个漏洞。成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。

<*来源：Venustech
  
  链接：http://secunia.com/advisories/26534/
        http://www.microsoft.com/technet/security/Bulletin/ms08-070.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA08-344A.html
*>

建议：

---

临时解决方法：

* 禁止在Internet Explorer中运行FlexGrid ActiveX控件。请将以下文本粘贴于记事本等文本编辑器中，然后使用.reg文件扩展名保存文件。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6262d3a0-531b-11cf-91f6-c2863c385e30}]
"Compatibility Flags"=dword:00000400

可以通过双击此.reg文件将其应用到各个系统，还可以使用组策略跨域应用该文件。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS08-070）以及相应补丁:
MS08-070：Vulnerabilities in Visual Basic 6.0 Runtime Extended Files (ActiveX Controls) Could Allow Remote Code Execution (932349)
链接：http://www.microsoft.com/technet/security/Bulletin/ms08-070.mspx?pf=true

浏览次数：2745
严重程度：0（网友投票）