发布日期：2009-02-26
更新日期：2009-03-02

受影响系统：

HP Virtual Rooms 7
HP Virtual Rooms 6

不受影响系统：

HP Virtual Rooms 7.0.1

描述：

---

BUGTRAQ  ID: 33918
CVE(CAN) ID: CVE-2009-0208

HP Virtual Rooms是一款在线协作软件。

HP Virtual Rooms需要使用Internet Explorer才能运行，因为HPVirtualRooms32.dll库提供了一个名为HPVirtualRooms32的ActiveX控件组件。该控件包含有多个危险的调用方式，但对可使用这个控件的站点没有任何限制。如果用户受骗访问了恶意网页的话，就可能通过这些调用向用户系统上下载并执行任意程序。

<*来源：Will Dormann
  
  链接：http://secunia.com/advisories/34065/
        http://www.kb.cert.org/vuls/id/461321
        http://marc.info/?l=bugtraq&m=123567121722181&w=2
*>

建议：

---

临时解决方法：

* 在IE中禁用HPVirtualRooms32 ActiveX控件，为以下CLSID设置kill bit：

{00000032-9593-4264-8B29-930B3E4EDCCD}

或将以下文本保存为.REG文件并导入：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{00000032-9593-4264-8B29-930B3E4EDCCD}]
"Compatibility Flags"=dword:00000400

厂商补丁：

HP
--
HP已经为此发布了一个安全公告（HPSBGN02410）以及相应补丁:
HPSBGN02410：SSRT080135 rev.1 - HP Virtual Rooms Client Running on Windows, Remote Execution of Arbitrary Code
链接：http://marc.info/?l=bugtraq&m=123567121722181&w=2

浏览次数：2485
严重程度：0（网友投票）