BUGTRAQ ID: 27590
CVE(CAN) ID: CVE-2008-0623
Yahoo! Music Jukebox是一款音乐编辑、管理、刻录软件。
Yahoo! Music Jukebox的ActiveX控件实现上存在缓冲区溢出漏洞,远程攻击者可能利用此漏洞控制用户系统。
Yahoo! Music Jukebox所安装的YMP DataGrid ActiveX控件(datagrid.dll)没有正确地处理传送给AddImage()方式的输入参数,如果用户受骗访问了恶意站点并向该参数传送了超长字符串的话,就可能触发栈溢出,导致执行任意指令。
Yahoo! Music Jukebox 2.2
临时解决方法:
{5F810AFC-BB5F-4416-BE63-E01DD117BD6C}
或者将以下文本报文为.REG文件并导入:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility{5F810AFC-BB5F-4416-BE63-E01DD117BD6C}]
"Compatibility Flags"=dword:00000400
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
<a href=“http://music.yahoo.com/jukebox/” target=“_blank”>http://music.yahoo.com/jukebox/</a>
<!--
Yahoo! Music Jukebox 2.2 AddImage() ActiveX BOF
Discovered by Krystian Kloskowski - [email protected]
&nb