联想Automated Solutions ActiveX控件多个安全漏洞

BUGTRAQ ID: 25311 CVE(CAN) ID: CVE-2007-2928,CVE-2007-2929,CVE-2007-2240 Automated Solutions是联想和IBM电脑中所安装的ActiveX工具软件包。 Automated Solutions的ActiveX控件实现上存在格式串处理漏洞，远程攻击者可能利用此漏洞控制用户系统。 Automated Solutions软件包中所捆绑的acpRunner（AcpController.dll）ActiveX控件中存在格式串漏洞，没有正确地验证下载软件包的签名，也没有限制对某些域的危险操作。如果用户受骗打开了恶意的HTML文档的话，就可能允许用户执行任意指令。 0 Lenovo Automated Solutions 临时解决方法： 在IE中禁用acpRunner ActiveX控件，为以下CLSID设置kill bit： {E598AC61-4C6F-4F4D-877F-FAC49CA91FA3} 或者将以下文本保存为.REG文件并导入： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E598AC61-4C6F-4F4D-877F-FAC49CA91FA3}] "Compatibility Flags"=dword:00000400 厂商补丁： Lenovo ------ 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： http://www-307.ibm.com/pc/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-67649&velxr-layout=printLenovo