聯眾世界GLIEDown2.dll Active控件執行漏洞

【綠盟科技授權，賽迪發佈，謝絕任何網站轉載，違者，賽迪網將保留追究其法律責任的權利！】

【賽迪網-IT技術報道】聯眾世界的遊戲大廳主程序GLWorld所安裝的GLIEDown2.dll ActiveX控件（CLSID：F917534D-535B-416B-8E8F-0C04756C31A8）沒有正確地處理某些用戶輸入參數，如果用戶受騙訪問了惡意網頁並向這些方式傳送了特製參數的話，可能導致在用戶系統上執行任意指令。

發佈日期：2008-05-07

更新日期：2008-05-08

受影響系統：

GlobalLink GlobalLink 2.8.1.2 beta

描述：

----------------------------------------------------------------------------

聯眾世界是在中國非常流行的在線遊戲網站。

聯眾世界的遊戲大廳主程序GLWorld所安裝的GLIEDown2.dll ActiveX控件（CLSID：F917534D-535B-416B-8E8F-0C04756C31A8）沒有正確地處理某些用戶輸入參數，如果用戶受騙訪問了惡意網頁並向這些方式傳送了特製參數的話，可能導致在用戶系統上執行任意指令。

利用此漏洞進行掛馬的0day攻擊已經出現。

<*來源：知道安全 （http://www.scanw.com/blog）

鏈接：http://www.scanw.com/blog/archives/175

*>

建議：

----------------------------------------------------------------------------

臨時解決方法：

* 為有漏洞的控件設置Kill-Bit：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/ActiveX Compatibility/{F917534D-535B-416B-8E8F-0C04756C31A8}]

「Compatibility Flags」=dword:00000400

廠商補丁：

GlobalLink

----------

目前廠商還沒有提供補丁或者升級程序，我們建議使用此軟體的用戶隨時關注廠商的主頁以獲取最新版本：

http://www.ourgame.com/

(