中心编号:NIPC-2007-1586 CVE编号:CVE-2007-2827
漏洞级别:紧急
发布日期:2007-05-23
更新日期:2007-05-23
漏洞类型:缓冲区溢出
攻击方式:远程
攻击效果:管理员访问权限
漏洞描述:
LeadTools ISIS是一款高速的文档扫描工具。
LEAD ISIS控件(ltisi14E.ocx)的实现上存在缓冲区溢出漏洞,远程攻击者可能利用此漏洞控制用户机器。
LEAD ISIS控件在处理DriverName属性时存在堆溢出漏洞。如果用户受骗访问了恶意站点并向该属性分配了超长字符串的话,就可能触发这个溢出,导致执行任意代码。
受影响系统和软件:
LEADTOOLS ISIS ActiveX Control version 14.5.0.44 and prior
解决方案:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.pds-site.com/LEAD/SDK/Document/document-isis-scanning.htm
参考资源一:
http://www.frsirt.com/english/advisories/2007/1900
参考资源二:
http://secunia.com/advisories/25349
参考资源三:
http://www.shinnai.altervista.org/moaxb/20070522/leadisistxt.html
致谢:
该漏洞由shinnai报告。
|
|
