首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2007-11)

NSFOCUS安全小組([email protected])
//www.nsfocus.com

Macrovision InstallShield Update Service ActiveX非授權下載執行任意程序漏洞

發布日期:2007-11-02


受影響的軟件及系統:
====================
Macrovision InstallShield 5.01.100.47363 及之前版本
Macrovision InstallShield 6.0.100.60146

綜述:
======
Macrovision InstallShield是一種用于在系統上安裝軟件的工具,應用軟件可以采用InstallShield把自己安裝到用戶機器上,InstallSheild包含一個“Update Service”的組件,允許軟件廠商在用戶系統上安裝軟件相關的更新和補丁。

NSFocus安全小組得知InstallShield的“Update Service”組件存在一個非授權下載執行任意程序的漏洞,攻擊者可能通過誘使用戶訪問惡意網頁未經用戶授權和操作下載并執行任意指定的程序。 此漏洞相關的技術細節及驗證代碼已經公開,可用性也已經得到驗證,而且InstallShield被大量應用軟件集成使用,即使用戶沒有自己安裝InstallShield,也極有可能通過一些軟件帶入到系統中,因此攻擊者可能利用此漏洞執行掛馬攻擊,感染控制大量有漏洞的機器。

分析:
======
漏洞存在于InstallShield “Update Service”組件Activex控件isusweb.dll中,控件支持無需驗證和用戶干預從指定網站下載執行任意程序的功能,通過組合使用如下幾個函數接口就可實現程序的下載執行。

function Initialize(out ProductName: BSTR; out Subject: BSTR; out DownloadSize: BSTR; out MoreInfoURL: BSTR); stdcall;

function DownloadAndExecute(out dispname: BSTR; out ProductCode: BSTR; out MsgID: I4; out url: BSTR; out cmdline: BSTR); stdcall

function DownloadAndInstall(out Silent: Bool); stdcall;

解決方法:
==========
Macrovision
-----------
廠商已經發布了補丁以修復這個漏洞,請盡快到廠商網站下載安裝:

//www.macrovision.com/promolanding/7660.htm


臨時解決方案:

在得到修復漏洞的補丁以前,NSFOCUS建議您采取以下措施以降低威脅:

* 為有漏洞的ActiveX控件設置kill-bit。把以下的文本存為 “.reg” 后綴的文件,雙擊文件執行導入注冊表 :

  Windows Registry Editor Version 5.00
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX
Compatibility\{E9880553-B8A7-4960-A668-95C68BED571E}]
  "Compatibility Flags"=dword:00000400
  
* 手工解除漏洞相關DLL文件的注冊。點擊“開始” -> “運行”,把如下文本貼粘到對話框中點擊“確定”:

  regsvr32 -u "C:\WINDOWS\Downloaded Program Files\isusweb.dll"

附加信息:
==========
https://www.xfocus.net/bbs/index.php?act=ST&f=2&t=65517&page=1#entry330740
//labs.idefense.com/intelligence/vulnerabilities/display.php?id=618

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/?;?、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: //www.nsfocus.com

© 2019 綠盟科技