TAIWAN
2003-07-01, 01:06 PM
賽門鐵客 Symantec Security Check RuFSI ActiveX 控件遠端緩衝區溢出漏洞
受影響系統:
Symantec RuFSI Utility Class
Symantec Security Check是一款免費 WEB 的工具,網址為 http://www.symantec.com/securitycheck ,可以使用戶對自己的電腦進行線上安全的檢查。
在執行檢查過程中,所有做過線上安全檢測用戶會被安裝 ActiveX 控制組件而未被告知。
目前的 Symantec RuFSI 工具類或 Symantec RuFSI 註冊資料類在使用超長字符串時缺少正確邊界緩衝區檢查,遠端攻擊者可以利用這個漏洞進行緩衝區溢出攻擊,可能以用戶瀏覽器處理程序權限在系統上執行任意指令。
攻擊者可以構建惡意站點,誘使曾被安裝 ActiveX 控制組件之用戶訪問,使此 ActiveX 控制組件處理超長字符串來觸發此漏洞。
測試方法:警 告
以下程式(方法)可能帶有攻擊性,僅供安全研究與教學之用。使用者風險自負!
Sym Security ([email protected])提供了以下測試方法:
<object classid="clsid:69DEAF94-AF66-11D3-BEC0-00105AA9B6AE" id="test">
</object>
<script>
test.CompareVersionStrings("long string here","or long string here")
</script>
臨時解決方法:
* 重新啟動系統,並刪除以下位置中的 ActiveX 控制組件:
System \Downloaded Program Files\rufsi.dll
廠商修正程式:Symantec 賽門鐵客
新的 ActiveX 控制組件已經提供,Symantec 建議曾在 http://www.symantec.com/securitycheck 做線上檢測之用戶,再次訪問 Symantec Security Check 重新再執行線上安全檢查,如此就會再次下載新修正的 ActiveX 控制組件來覆蓋有漏洞的 ActiveX 控制組件:
http://www.symantec.com/securitycheck
受影響系統:
Symantec RuFSI Utility Class
Symantec Security Check是一款免費 WEB 的工具,網址為 http://www.symantec.com/securitycheck ,可以使用戶對自己的電腦進行線上安全的檢查。
在執行檢查過程中,所有做過線上安全檢測用戶會被安裝 ActiveX 控制組件而未被告知。
目前的 Symantec RuFSI 工具類或 Symantec RuFSI 註冊資料類在使用超長字符串時缺少正確邊界緩衝區檢查,遠端攻擊者可以利用這個漏洞進行緩衝區溢出攻擊,可能以用戶瀏覽器處理程序權限在系統上執行任意指令。
攻擊者可以構建惡意站點,誘使曾被安裝 ActiveX 控制組件之用戶訪問,使此 ActiveX 控制組件處理超長字符串來觸發此漏洞。
測試方法:警 告
以下程式(方法)可能帶有攻擊性,僅供安全研究與教學之用。使用者風險自負!
Sym Security ([email protected])提供了以下測試方法:
<object classid="clsid:69DEAF94-AF66-11D3-BEC0-00105AA9B6AE" id="test">
</object>
<script>
test.CompareVersionStrings("long string here","or long string here")
</script>
臨時解決方法:
* 重新啟動系統,並刪除以下位置中的 ActiveX 控制組件:
System \Downloaded Program Files\rufsi.dll
廠商修正程式:Symantec 賽門鐵客
新的 ActiveX 控制組件已經提供,Symantec 建議曾在 http://www.symantec.com/securitycheck 做線上檢測之用戶,再次訪問 Symantec Security Check 重新再執行線上安全檢查,如此就會再次下載新修正的 ActiveX 控制組件來覆蓋有漏洞的 ActiveX 控制組件:
http://www.symantec.com/securitycheck