SAP GUI捆绑的KWEdit ActiveX控件不安全调用漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2009-04-22
SAP GUI捆绑的KWEdit ActiveX控件不安全调用漏洞 受影响系统:
SAP Sapgui 7.10 Patch 5
SAP Sapgui 6.40 Patch 29

描述:
SAPgui是SAP软件的图形用户界面客户端。 

SAPgui所捆绑的KWEdit ActiveX控件(KWEDIT.DLL)提供了不安全的SaveDocumentAs()函数。如果用户受骗访问了恶意网页的话,该函数可能将HTML文档保存到指定的位置。如果结合OpenDocument()方式的话,远程安全者就可以泄露任意文件的内容,或在用户系统上执行任意代码。

厂商补丁:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://service.sap.com/sap/support/notes/1294913