MacroVision InstallShield是很多軟件廠商都在使用的安裝程序解決方案��。
Macrovision InstallShield所安裝的升級(jí)服務(wù)(Update Service)可選組件中存在多個(gè)不安全的方式��,遠(yuǎn)程攻擊者可能利用此漏洞通過誘使用戶訪問惡意網(wǎng)頁控制用戶系統(tǒng)��。
該組件以以下ActiveX控件的形式實(shí)現(xiàn):
CLSID:E9880553-B8A7-4960-A668-95C68BED571E
文件:C:WindowsDownloaded Filesisusweb.dll
版本:5.01.100.47363和6.0.100.60146
這個(gè)控件標(biāo)記為safe for scripting��,如果用戶受騙訪問了惡意網(wǎng)頁的話�,控件中的一些方式可能允許下載并啟動(dòng)任意可執(zhí)行程序���。
受影響系統(tǒng)和軟件:
解決方案:
Macrovision, InstallShield 2008 Macrovision, Update Service, 3.0 Macrovision, Update Service, 4.0 Macrovision, Update Service, 5.0 Macrovision, Update Service, 5.1.100_47363 Macrovision, Update Service, 6.0.100_60146 Macrovision, FLEXnet Connect
參考資源一:
http://www.securityfocus.com/bid/26280
參考資源二:
http://www.macrovision.com/promolanding/7660.htm
參考資源三:
http://www.frsirt.com/english/advisories/2007/3670
致謝:
該漏洞由一位匿名人士發(fā)現(xiàn)�。
