Kaspersky 在線掃瞄控件遠程格式串漏洞

【綠盟科技授權，賽迪發佈，謝絕任何網站轉載，違者，賽迪網將保留追究其法律責任的權利！】

發佈日期：2007-10-10

更新日期：2007-10-11

受影響系統：

Kaspersky Labs Online Scanner 5.0.93.1

Kaspersky Labs Online Scanner 5.0.93.0

不受影響系統：

Kaspersky Labs Online Scanner 5.0.98.0

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 26004

CVE(CAN) ID: CVE-2007-3675

Kaspersky Online Scanner是免費的在線病毒掃瞄服務，允許用戶通過Web瀏覽器掃瞄惡意代碼。

Kaspersky Online Scanner所帶的ActiveX控件實現上存在格式串處理漏洞，遠程攻擊者可能利用此漏洞控制客戶端系統。

Kaspersky Online Scanner所安裝的以下在線病毒掃瞄ActiveX控件：

ProgID：kavwebscan.CKAVWebScan ClassID：0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75文件：kavwebscan.dll

將攻擊者所提供的資料傳輸為各種格式串函數的參數以便顯示HTML頁面中的本地化信息。如果使用這個ActiveX控件渲染了特製頁面的話，就可能觸發堆溢出，導致執行任意指令。

<*來源：Stephen Fewer

鏈接：http://www.kaspersky.com/news?id=207575572

http://secunia.com/advisories/27187/

http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=606

*>

建議：

--------------------------------------------------------------------------------

廠商補丁：

Kaspersky Labs

--------------

目前廠商已經發佈了升級補丁以修復這個安全問題，請到廠商的主頁下載：

http://www.kaspersky.com/

(