安科网

Microsoft Windows hxvz.dll ActiveX控件堆溢出漏洞(MS08-023)

普普通通

普普通通

2008-10-07

关注 关注
受影响系统:
Microsoft Windows XP SP2
Microsoft Windows Vista SP1
Microsoft Windows Vista
Microsoft Windows Server 2008
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2003 SP1
Microsoft Internet Explorer 5.0.1 SP4
- Microsoft Windows 2000 SP4
Microsoft Internet Explorer 6.0 SP1
- Microsoft Windows 2000 SP4
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 28606
CVE(CAN) ID: CVE-2008-1086

Microsoft Windows是微软发布的非常流行的操作系统。

Microsoft Help的ActiveX控件实现上存在漏洞,远程攻击者可能利用此漏洞控制用户系统。

Microsoft Help 2.5安装了以下ActiveX控件:

ProgID:HxVz.HxTocCtrl.1
CLSID:314111B8-A502-11D2-BBCA-00C04F8EC294
文件:%PROGRAM DIR%\Common Files\Microsoft Shared\Help\hxvz.dll

如果向该控件提供了畸形参数的话,就可以破坏堆内存。攻击者可以通过构造特制网页来利用该漏洞,当用户查看网页时,该漏洞可能允许远程执行指令。成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。

<*来源:iDEFENSE

链接:http://secunia.com/advisories/29714/
http://www.microsoft.com/technet/security/Bulletin/MS08-023.mspx?pf=true
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=680
http://www.us-cert.gov/cas/techalerts/TA08-099A.html
*>

建议:
--------------------------------------------------------------------------------
临时解决方法:

* 禁止在Internet Explorer中运行COM对象。

厂商补丁:

Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS08-023)以及相应补丁:
MS08-023:Security Update of ActiveX Kill Bits (948881)
链接:http://www.microsoft.com/technet/security/Bulletin/MS08-023.mspx?pf=true

activex 漏洞 windows系统

普普通通

普普通通

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

?TestStand API 编程

使用“属性”和“调?用”节点?

范群松 2020-02-14

ActiveX网页信息加密

现在有些网站还在使用http协议,这样子在登录的时候由于http协议是没有加密功能的所以用户的密码很容易在发送到服务器途中被网络抓取到,或者是浏览器一般都会把用户的密码记录下来,这样就很危险了。如果我们在网页上输入的密码在被浏览器记录前或发送到服务器前通过

ahnuzfm 2019-12-24

添加网站到安全站点.设置安全站点打开ActiveX时提示.去页眉页脚的vbs代码

' * FileName 添加网站到安全站点.设置安全站点打开ActiveX时提示.去页眉页脚.vbs. msg = msg & "如果还不能正常打印,你需要关闭所有打开的IE浏览器窗口,然后再登录OA进行打印"&vbC

luohui 2009-07-23

确认:Win10 Edge浏览器抛弃ActiveX及Silverlight插件

微软已经宣布其Win10系统最新的Edge浏览器不再使用IE浏览器上的许多功能,包括不再支持基于ActiveX的插件。今天,微软确认抛弃ActiveX,也不再支持自家的Silverlight网页媒体播放技术。Silverlight首次引入是在2007年,作

spoft 2015-07-02

Windows7必须清除的五个功能介绍

注册表是一套控制操作系统外表和如何响应外来事件工作的文件。这些“事件”的范围从直接存取一个硬件设备到接口如何响应特定用户到应用程序如何运行等等。这些嵌入式程序称为 ActiveX Controls。ActiveX插件安装的一个前提是必须经过用户的同意及确认

WindowsTao 2014-08-24

windows系统activex注册和反注册工具Regsvr32使用技巧

大家有使用过activex的人都知道,activex不注册是不能够被系统识别和使用的,一般安装程序都会自动地把它所使用的activex控件注册,但如果你拿到的一个控件需要手动注册怎么办呢?如果修改注册表那就太麻烦了,在windowsxp的system文件夹

lhhui 2014-01-05

如何在html页面关闭的时候自动的释放引用到的activex?

}然后在html页面body标签的onunload里面调用一下就可以自动释放activex了.

小烨 2014-07-23

javascript的window.ActiveXObject对象,区别浏览器的方法

在较新的IE版本中可以利用var xml=new ActiveXObject的形式创建XMLHttpRequest对象;而在IE7及非IE浏览器中可以利用var xml=new XMLHttpRequest()创建XMLHttpRequest对象。因此我们

zergxixi 2013-04-10

Flex +javascript +Activex FLex 通过Javascript 调用ActiveX 操作硬件问题

我们界面准备用flex来做,后台用java+Blazeds,现在就是遇到了flex和硬件打交道的问题。因为厂商提供的接口都是dll所以我是通过Activex封装厂商提供的Dll,然后javascript去调用ActiveX,然后flex调用javascri

Dansha的花果山 2012-11-14

JavaScript和ActiveX控件交互

首先在本机通过regsvr32命令注册ActiveX控件,然后确保ActiveX控件能正确在IE中加载,IE7、IE8对安全控制得比较严,设置起来有点烦。</html>说明:JavaScript函数要和ActiveX控件的事件进行关联,获取事件

VitaLemon 2012-10-24

OCX控件(组件)的相关知识

所以易语言就提供一个接口,允许用户编写自己的控件插入到易语言中使用。按照易语言的接口标准编写的控件就是OCX。由于使用OCX可以节省开发软件的时间,所以现在几乎所有开发工具都允许用户使用OCX来增强其功能。后来随着Internet的流行,微软又让网页中可以

随矜而去BLOG 2012-10-17

MFC Activex与JavaScript的接口交互

在Activex的应用中与网页的JavaScript的交互必不可少,在这里就简单的介绍下。VC创建的Activex的有两种类型,MFCActivex与ATLActivex,在VC新建工程的时候选择,这篇文章介绍的是针对MFCActivex的,ATLActi

西门吹雪 2012-06-18

ajax同步请求和异步请求

var activeX = [ "MSXML2.XMLHTTP.3.0", "MSXML2.XMLHTTP", "Microsoft.XMLHTTP" ];对于代码一,为同步的ajax请求,执行结

江南昆虫 2011-07-02

用JS在页面调用本地可执行文件的方法(ACTIVEX)

// Instantiate the Shell object and invoke its execute method.当函数调用过程出现错误时,它将作为Windows消息窗口的父窗口。当参数设为nil时,表示执行默认操作“open”。若ShellEx

vvu 2011-06-17

Novell iPrint ienipp.ocx ActiveX 控件溢出漏洞

受影响系统: Novell iPrint Client for Windows 4.32 Novell iPrint Client for Windows 4.26 不受影响系统: Novell iPrint Client for Windows 4.34

梦想软件设计师 2008-10-07

Windows Vista中IE漏洞击穿系统分析

在Vista正式发布后,在一段时间内被认为是目前最安全的操作系统。可是接二连三的一些系统漏洞打破了Vista的安全神话。最新爆发的IE Speech API漏洞,更是让Vista的安全防线形同虚设,黑客可以利用这个漏洞控制整个系统。同时,由于这个漏洞是IE

ThinkMake 2008-10-07

雅虎通 ActiveX控件GetFile方式任意文件上传漏洞

Messenger 8.1.421 描述: 雅虎通是一款非常流行的即时通讯工具。雅虎通的CYFT ActiveX控件实现上存在漏洞,远程攻击者可能利用此漏洞向用户系统上传任意文件。CYFT ActiveX控件的GetFile()方式没有对用户提交的参数做充

gouiso 2008-10-07

ActiveX控件与Javascript之间的交互示例

</script> objectname为ActiveX控件名,通过<object>标签里的id属性设定,如下; 代码如下:。</object> fun1为ActiveX控件的函数,这里作为事件,当ActiveX控件里的

黄玮鹏 2014-06-04

简单讲解VB开发分布式

本文向大家介绍VB开发分布式,可能好多人还不了解VB开发分布式,没有关系,看完本文你肯定有不少收获,希望本文能教会你更多东西。微软推出的VB是一个功能强大的开发平台。我们可以将需要多次重复使用的功能单元开发成 activex组件,然后在新程序中象使用vb标

mengdc 2009-10-09

IBM Lotus Quickr for Domino ActiveX Control缓冲区溢出漏洞(

受影响系统:IBM Lotus Quickr 8.xIBM Lotus Quickr qp2 ActiveX Control描述:---------------------------------------------------------------

Norther 2013-06-15
普普通通

普普通通

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号