【绿盟科技授权,赛迪发布,谢绝任何网站转载,违者,赛迪网将保留追究其法律责任的权利!】
发布日期:2007-08-28
更新日期:2007-08-30
受影响系统:
Quiksoft EasyMail Objects 6.0.1
PostCast PostCast Server Pro 3.0.61
不受影响系统:
Quiksoft EasyMail Objects 6.5
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 25467
EasyMail Objects是一组全面的、易用的COM控件,可以创建、发送、接收、显示、编辑、保存和打印电子邮件。
EasyMail Objects在处理畸形参数的请求时存在缓冲区溢出漏洞,远程攻击者可能利用此漏洞控制用户系统。
EasyMail Objects中所捆绑的EasyMail SMTP ActiveX控件(emsmtp.dll)没有正确地验证对SubmitToExpress方式的输入参数,如果用户受骗打开了恶意网页并向该方式传送了超过539字符的超长参数的话,就可能触发栈溢出,导致在用户浏览器会话中执行任意指令。
<*来源:rgod (rgod@autistici.org)
链接:http://www.kb.cert.org/vuls/id/281977
http://secunia.com/advisories/26639/
http://secunia.com/advisories/24199/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
临时解决方法:
* 在IE中为以下CLSID设置kill bit:
{68AC0D5F-0424-11D5-822F-00C04F6BA8D9}
或将以下文本保存为.REG文件并导入:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{68AC0D5F-
0424-11D5-822F-00C04F6BA8D9}]
"Compatibility Flags"=dword:00000400
|
厂商补丁:
Quiksoft
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.quiksoft.com/
PostCast
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.postcastserver.com/(责任编辑:李磊)
