:::
:::首頁 > 網路安全服務 > 政府網路危機處理中心 > 最新訊息
 
 
ICON 最新訊息 ICON 相關服務
ICON 中心簡介 ICON 相關網站
最新訊息
 
事件通告
分隔線
Groove Virtual Office XUpload ActiveX控制項含有可能造成緩衝區溢位的漏洞!(2008/01/11)
 
詳細描述:

Groove Virtual Office 為一套協助團隊成員共同工作的協同軟體(collaboration software),可以透過此軟體和同事、夥伴們分享檔案、互相討論、線上會議;甚至若同事處於離線狀態,也能在下次上線後取得資訊。利用Groove Virtual Office 達成虛擬辦公室實作,除了能讓資訊同步之外也可讓整個團隊的資訊都處於最新狀態。

本弱點原因是由於Groove Virtual Office XUpload ActiveX 控制元件(XUpload.ocx) 在處理過長AddFolder() 參數的方法中,含有可能會產生記憶體緩衝區溢位(stack-based) 的弱點,惡意人士便可利用此弱點製作惡意檔案並引誘使用者瀏覽惡意網站或開啟惡意網頁,導致系統受駭並進而取得登入的使用者權限,於受駭系統上執行任意程式碼、洩露機敏感資料或發動阻斷服務攻擊(DoS) 等。

目前已知Groove Virtual Office 3.x 版皆有可能受到影響,但Office Groove 2007 不會受到影響,由於Microsoft 官網尚未提出相關修正檔案,中華電信SOC 在此建議使用者不去瀏覽不明的網站,或設定ActiveX 控制項的kill-bit (http://support.microsoft.com/kb/240797),以免受駭!

參考資料:

 
 
下框