发布日期：2006-10-10
更新日期：2006-10-13

受影响系统：

AOL AOL 9.0

描述：

---

BUGTRAQ  ID: 20425,20472
CVE(CAN) ID: CVE-2006-4840,CVE-2006-3888,CVE-2006-3887

America Online 9.0 Security Edition是美国在线发布的基于Internet Explorer技术的客户端软件，可提供安全性和可用性功能。

AOL客户端所安装的ActiveX控件中存在多个安全漏洞，具体如下：

1) 如果访问了恶意站点的话，就可能触发AOL的YGP (You've Got Pictures)屏保和AOL YGP Pic Downloader ActiveX控件中的缓冲区溢出漏洞。

2) 如果访问了恶意站点的话，就可能触发AOL YGP Pic Downloader ActiveX控件的SetAlbumName()方法实现上的缓冲区溢出漏洞。

成功攻击可能导致执行任意代码。

<*来源：Will Dormann
        iDEFENSE
  
  链接：http://secunia.com/advisories/22304/
        http://www.kb.cert.org/vuls/id/154641
        http://www.kb.cert.org/vuls/id/661524
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=420
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 禁用AOL YGP Pic Downloader ActiveX控件
* 禁用ActiveX控件

厂商补丁：

AOL
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.corp.aol.com/products/brands_aol2.shtml

浏览次数：3208
严重程度：0（网友投票）