联想Automated Solutions ActiveX控件多个安全漏洞

BUGTRAQ ID: 25311
CVE(CAN) ID: CVE-2007-2928,CVE-2007-2929,CVE-2007-2240

Automated Solutions是联想和IBM电脑中所安装的ActiveX工具软件包。

Automated Solutions的ActiveX控件实现上存在格式串处理漏洞，远程攻击者可能利用此漏洞控制用户系统。

Automated Solutions软件包中所捆绑的acpRunner（AcpController.dll）ActiveX控件中存在格式串漏洞，没有正确地验证下载软件包的签名，也没有限制对某些域的危险操作。如果用户受骗打开了恶意的HTML文档的话，就可能允许用户执行任意指令。
0
Lenovo Automated Solutions
临时解决方法：

在IE中禁用acpRunner ActiveX控件，为以下CLSID设置kill bit：

{E598AC61-4C6F-4F4D-877F-FAC49CA91FA3}

或者将以下文本保存为.REG文件并导入：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility{E598AC61-4C6F-4F4D-877F-FAC49CA91FA3}]
"Compatibility Flags"=dword:00000400

厂商补丁：

Lenovo

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www-307.ibm.com/pc/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-67649&velxr-layout=printLenovo