http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200209-064

activex.microsoft.com网站提供了一款示例应用程序MicrosoftDirectX文件查看ActiveX控件(FilesViewerActiveXControl)。MicrosoftDirectX文件查看ActiveX控件在处理’File’参数时存在问题，远程攻击者可以利用这个漏洞进行缓冲区溢出攻击。MicrosoftDirectX文件查看ActiveX控件对’File’参数缺少正确的边界缓冲检查，攻击者可以使用标记在WEB页中嵌入ActiveX控件，并精心设置’File’参数数据，用户在点击此页面后，可以导致缓冲区溢出，可能以用户进程的权限在系统中执行任意指令。由于此控件由Microsoft公司签字，攻击者可以在自己控制的服务器上提供此控件拷贝并使用户自动接收签字过的ActiveX控件，并利用邮件，BBS等媒介诱使用户点击恶意WEB页面。用户也可以把ActiveX控件嵌入到MicrosoftOffice文档，当文档打开时，也可以导致ActiveX控件执行。漏洞公告临时解决方法：如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：*暂时关闭浏览器的ActiveX功能。厂商补丁：Microsoft———目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://www.microsoft.com/technet/security/据称Windows2000SP3和WindowsXPSP1补丁集修正了这个问题，但没有得到证实。参考网址来源:BUGTRAQ名称:20020816Repost:BufferoverflowinMicrosoftDirectXFilesViewerxweb.ocx(<2,0,16,15)ActiveXsample链接:http://marc.theaimsgroup.com/?l=bugtraq&m=102953851705859&w=2来源:BID名称:5489链接:http://www.securityfocus.com/bid/5489来源:XF名称:ms-directx-files-viewer-bo(9877)链接:http://www.iss.net/security_center/static/9877.php受影响实体Microso

来源:BUGTRAQ
名称:20020816Repost:BufferoverflowinMicrosoftDirectXFilesViewerxweb.ocx(<2,0,16,15)ActiveXsample
链接:http://marc.theaimsgroup.com/?l=bugtraq&m;=102953851705859&w;=2
来源:BID
名称:5489
链接:http://www.securityfocus.com/bid/5489
来源:XF
名称:ms-directx-files-viewer-bo(9877)
链接:http://www.iss.net/security_center/static/9877.php