British Telecommunications webhelper ActiveX控件多个缓冲区溢出漏洞

2007-06-01T00:00:00
ID SSV:1809
Type seebug
Reporter Root
Modified 2007-06-01T00:00:00

Description

British Telecommunications webhelper ActiveX是英国电信所提供的帮助工具。

webhelper ActiveX控件实现上存在缓冲区溢出漏洞,远程攻击者可能利用此漏洞控制用户机器。

Consumer webhelper ActiveX控件(btwebcontrol.dll)和Connect webhelper ActiveX控件(btbconnectwebcontrol.dll)没有正确验证用户输入,如果用户受骗访问了恶意站点的话,就可能触发缓冲区溢出,导致执行任意指令。

British Telecommunications Consumer webhelper < 2.0.0.8 British Telecommunications Business Connect webhelper < 1.0.0.7 临时解决方法:

  • 在IE中禁用BT Consumer webhelper ActiveX控件,为以下CLSID设置kill bit:

    {EC5A4E7B-02EB-451D-B310-D5F2E0A4D8C3}

或者将以下文本保存为.REG文件并导入:

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EC5A4E7B-02EB-451D-B310-D5F2E0A4D8C3}]
  &quot;Compatibility Flags&quot;=dword:00000400
  • 在IE中禁用BT Business Connect webhelper ActiveX控件,为以下CLSID设置kill bit:

    {E82ED244-76EF-4D34-BDB3-AB21A522F38E}

或者将以下文本保存为.REG文件并导入:

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E82ED244-76EF-4D34-BDB3-AB21A522F38E}]
  &quot;Compatibility Flags&quot;=dword:00000400

厂商补丁:

British Telecommunications

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

<a href="http://www.btglobalservices.com/" target="_blank">http://www.btglobalservices.com/</a>