发布日期：2007-02-23
更新日期：2007-02-23

受影响系统：

VeriSign, Inc MPKI 2.x

描述：

---

BUGTRAQ  ID: 22671
CVE(CAN) ID: CVE-2007-1083

VeriSign Inc. MPKI是Microsoft Exchange和Go Secure!的安全通信组件产品。

MPKI的ActiveX控件实现上存在缓冲区溢出漏洞，远程攻击者可能利用这些漏洞控制用户客户端机器。

MPKI的ConfigChk ActiveX控件在处理带超长参数的VerCompare()方法调用时存在缓冲区溢出漏洞，两个参数中的任何一个长度超长28字节都会触发栈缓冲区溢出，远程攻击者可以通过诱使用户访问恶意网页在用户机器上执行任意指令。

<*来源：David D. Rude II
  
  链接：http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=479
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 对ActiveX控件设置禁止位：

把如下的文本存为 .REG 文件

      Windows Registry Editor Version 5.00

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{08F04139-8DFC-11D2-80E9-006008B066EE}]
      "Compatibility Flags"=dword:00000400

双击文件导入注册表。

* 删除VSCnfChk.dll文件。

厂商补丁：

VeriSign, Inc
-------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.verisign.com/

浏览次数：2479
严重程度：0（网友投票）