发布日期：2007-01-02
更新日期：2007-01-16

受影响系统：

ICONICS Dialog Wrapper Module ActiveX Control < 8.4.166.0

不受影响系统：

ICONICS Dialog Wrapper Module ActiveX Control 8.4.166.0

描述：

---

BUGTRAQ  ID: 21849
CVE(CAN) ID: CVE-2006-6488

ICONICS是一家专业提供基于OPC可视化软件的公司，ICONICS Dialog Wrapper模块ActiveX控件是捆绑于启用了OPC的可视化工具中的控件。

ICONICS Gauge ActiveX、ICONICS Switch ActiveX和ICONICS Vessel ActiveX中所使用的Dialog Wrapper模块ActiveX控件（DlgWrapper.dll）在处理DoModal()方式时存在栈溢出漏洞。如果远程攻击者能够通过FileName或Filter参数传送超长字符串的话，就会触发这个漏洞，导致执行任意代码。

<*来源：Will Dormann
  
  链接：http://secunia.com/advisories/23583/
        http://www.kb.cert.org/vuls/id/251969
*>

建议：

---

临时解决方法：

* 在Internet Explorer中为以下CLSID设置kill bit禁用ICONICS Dialog Wrapper模块ActiveX控件：

      {9D6BD878-B8EB-47E5-AB1C-87D74173BAAA}

厂商补丁：

ICONICS
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.iconics.com/support/free_tools/FreeToolsActiveX_DlgWrapperHotFix.zip

浏览次数：3502
严重程度：0（网友投票）