BUGTRAQ ID: 27661
CVE(CAN) ID: CVE-2007-0065
Microsoft Windows是微软发布的非常流行的操作系统。
对象链接和嵌入(OLE)自动化处理特制脚本请求的方式存在堆溢出漏洞,如果用户受骗访问了恶意站点的话,就可能触发这个溢出,导致以登录用户的权限对系统进行更改。如果用户以管理权限登录的话,攻击者就可以完全控制受影响的系统。
Microsoft Office 2004 for Mac
Microsoft Visual Basic 6.0 SP6
Microsoft Windows XP SP2
Microsoft Windows Vista
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2003 SP1
Microsoft Windows 2000SP4
临时解决方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility{4C599241-6926-101B-9992-00000B65C6F9}]
"Compatibility Flags"=dword:00000400
厂商补丁:
Microsoft已经为此发布了一个安全公告(MS08-008)以及相应补丁:
MS08-008:Vulnerability in OLE Automation Could Allow Remote Code Execution (947890)
链接:<a href=“http://www.microsoft.com/technet/security/Bulletin/MS08-008.mspx?pf=true” target=“_blank”>http://www.microsoft.com/technet/security/Bulletin/MS08-008.mspx?pf=true</a>