维信联合科技
IE的VML组件存在未公开漏洞
2008-11-02
CVE CAN ID:CVE-2006-3866
BUGTRAQ ID:20096
受影响的软件及系统:
====================
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows XP Professional x64 Edition
综述:
======
NSFocus安全小组得知IE的VML组件存在一个未公开的漏洞,已经有某些网站利用这个漏洞向用户的电脑上安装间谍软件。
分析:
======
VML(Vector Markup Language)是一种基于XML的矢量图形绘制语言。IE通过vgx.dll提供了对VML语言的支持,可以在解析页面中嵌入的VML,显示矢量图。vgx.dll在解析VML的时候存在缓冲区溢出漏洞,利用这个漏洞可以完全控制用户的系统。
该漏洞最早被发现于一个国外网站,该网站在页面中嵌入攻击代码,用于在用户的机器上安装间谍软件。NSFocus安全小组预计,可能很快会有攻击者在国内利用该漏洞来盗取QQ号、网络银行帐号、网络游戏帐号等。
解决方法:
==========
BUGTRAQ ID:20096
受影响的软件及系统:
====================
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows XP Professional x64 Edition
综述:
======
NSFocus安全小组得知IE的VML组件存在一个未公开的漏洞,已经有某些网站利用这个漏洞向用户的电脑上安装间谍软件。
分析:
======
VML(Vector Markup Language)是一种基于XML的矢量图形绘制语言。IE通过vgx.dll提供了对VML语言的支持,可以在解析页面中嵌入的VML,显示矢量图。vgx.dll在解析VML的时候存在缓冲区溢出漏洞,利用这个漏洞可以完全控制用户的系统。
该漏洞最早被发现于一个国外网站,该网站在页面中嵌入攻击代码,用于在用户的机器上安装间谍软件。NSFocus安全小组预计,可能很快会有攻击者在国内利用该漏洞来盗取QQ号、网络银行帐号、网络游戏帐号等。
解决方法:
==========