迅雷ActiveX控件存在远程缓冲区溢出漏洞

发布日期：2007-09-20

更新日期：2007-09-24

受影响系统：

迅雷公司 迅雷 5.6.9.344

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 25751

CVE(CAN) ID: CVE-2007-5064

Web迅雷是迅雷公司最新推出的一款基于多资源多线程技术的下载工具。

迅雷的ActiveX控件实现上存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。

迅雷中的DPClient.Vod.1 ActiveX控件（DapPlayer_Now.dll）没有正确的处理传送给DownURL2()方式传送的参数，如果用户受骗访问了恶意网页的话，就可能触发缓冲区溢出，导致执行任意指令。

<*来源：7jdg

链接：http://1v1.name/show-283-1.html

http://secunia.com/advisories/26964/

*>

建议：

--------------------------------------------------------------------------------

临时解决方法：

* 为clsid：EEDD6FF9-13DE-496B-9A1C-D78B3215E266设置kill bit。

厂商补丁：

迅雷公司

--------

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.xunlei.com/