出处：donews　　作者：佚名　　责任编辑：永恒　　2007-01-16

出处：DSW Avert  

　　今日，DSW Lab Avert小组监测到一个高度危险的关于阿里巴巴淘宝旺旺ActiveXl漏洞被公布，该漏洞产生于一个ActiveX控件参数缺乏必要的长度验证。攻击者构造恶意网页，可以远程完全控制安装了阿里巴巴淘宝旺旺用户的计算机，如果被恶意利用，可以使得用户在浏览植入恶意代码的网页时，打开本地端口，远程植入木马到用户系统中，从而被窃取相关敏感信息比如淘宝帐号/密码，或者支付宝帐号/密码。

　　由于厂商偷偷修补该漏洞，并没有公告和强制用户升级，使得大量的阿里巴巴淘宝旺旺用户处在风险中。DSWLAB及时升级了超级巡警最新特征库，请广大用户升级到最新库，监测利用该漏洞的木马，强烈建议广大用户安装最新版本淘宝旺旺，抵御病毒入侵，预防此漏洞危害系统。

　　关于淘宝旺旺：淘宝旺旺是为淘宝会员量身定做的个人交易沟通软件，淘宝用户可以方便的进行购买支付等交流，淘宝在国内有着广大的用户群。

　　解决方案：

　　1、推荐使用厂商推出的最新版本淘宝旺旺。

　　2、关闭和删除注册表中相关ActiveX注册条目：ClassID：6E213FC7-DD5A-4115-B7E6-D4C7838C361E

　　3、推荐安装超级巡警来即时监测木马。

　　注：该漏洞由cocoruder发现，更多详细信息：

　　http://www.xfocus.net/articles/200701/901.html

　　版权所有：数据安全实验室
　　http://www.dswlab.com
　　http://www.unnoo.com
　　Copyright(c) DSW Lab All rights reserved

免责声明：本站部分资源由网友推荐，来自互联网，版权属于原版权人，如果不慎侵犯到您的权利，敬请告知，我们会在第一时间撤除。本站中各网友的评论只代表其个人观点，不代表本站同意其观点。