Microsoft Access快照查看器ActiveX控件任意文件下载漏洞

BUGTRAQ ID: 30114 CVE(CAN) ID: CVE-2008-2463 Microsoft Access是微软Office套件中的关系数据库管理系统。 Microsoft Access中捆绑了快照查看器ActiveX控件用于方便的查看Access报表快照，该控件没有正确的验证某些输入参数。如果用户受骗访问了恶意站点的话，就可能导致将站点上的文件下载到用户机器的任意位置。目前这个漏洞正在被积极的利用。 Microsoft Access 2003 Microsoft Access 2002 Microsoft Access 2000 临时解决方法： * 为以下CLSID设置kill bit： {F0E42D50-368C-11D0-AD81-00A0C90DC8D9} {F0E42D60-368C-11D0-AD81-00A0C90DC8D9} {F2175210-368C-11D0-AD81-00A0C90DC8D9} 或者将以下文本保存为.REG文件并导入： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}] "Compatibility Flags"=dword:00000400 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}] "Compatibility Flags"=dword:00000400 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F2175210-368C-11D0-AD81-00A0C90DC8D9}] "Compatibility Flags"=dword:00000400 厂商补丁： Microsoft --------- 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： <a href=http://www.microsoft.com/technet/security/ target=_blank>http://www.microsoft.com/technet/security/</a>