发布日期：2010-06-08
更新日期：2010-06-13

受影响系统：

Computer Associates PSFormX ActiveX
Computer Associates WebScan ActiveX 1.x

描述：

---

BUGTRAQ  ID: 40494,40689
CVE ID: CVE-2010-2193

Computer Associates是世界领先的安全厂商，产品包括多种杀毒软件及备份恢复系统。

CA Global Security Advisor站点所提供的PSFormX和WebScan ActiveX控件没有正确地验证用户所提供输入参数，用户受骗访问了恶意网页就可能导致执行任意代码。目前CA已不再支持这两个控件，建议将其删除或禁用。

<*来源：Elazar Broad （elazarb@earthlink.net）
  
  链接：http://secunia.com/advisories/40118/
        http://secunia.com/advisories/40092/
        http://marc.info/?l=bugtraq&m=127610812818239&w=2
        http://www.microsoft.com/technet/security/bulletin/MS10-034.mspx?pf=true
*>

建议：

---

临时解决方法：

* 为有漏洞的控件设置kill bit：

PSFormX ActiveX控件
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{56393399-041A-4650-94C7-13DFCB1F4665}]

WebScan ActiveX控件
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{7B297BFD-85E4-4092-B2AF-16A91B2EA103}]

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS10-034）以及相应补丁:
MS10-034：Cumulative Security Update of ActiveX Kill Bits (980195)
链接：http://www.microsoft.com/technet/security/bulletin/MS10-034.mspx?pf=true

浏览次数：2350
严重程度：0（网友投票）