发布日期：2006-10-25
更新日期：2006-10-27

受影响系统：

AOL AOL 9.0

描述：

---

BUGTRAQ  ID: 20745,20747
CVE(CAN) ID: CVE-2006-5501,CVE-2006-5502

America Online 9.0 Security Edition是美国在线发布的基于Internet Explorer技术的客户端软件，可提供安全性和可用性功能。

AOL的YGPPDownload ActiveX控件（YGPPicDownload.dll）在处理对AddPictureNoAlbum()方式及downloadFileDirectory属性的输入时存在两个堆溢出漏洞，可能允许攻击者在用户浏览器中执行任意指令。

<*来源：Dennis Rand （DER@cowi.dk）
  
  链接：http://secunia.com/advisories/22567/
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=430
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=429
*>

建议：

---

临时解决方法：

* 禁用Active脚本或注销有漏洞的控件。

厂商补丁：

AOL
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.aol.com/

浏览次数：2816
严重程度：0（网友投票）