BUGTRAQ ID: 29530
CVE(CAN) ID: CVE-2007-5608
HP Instant Support是是基于网络的故障诊断和排除工具套件,适用于桌面计算和打印产品。
HP Instant Support所安装的HPISDataManager.dll ActiveX控件没有正确地过滤对DownloadFile函数的输入参数。如果用户受骗访问了恶意网页并向该函数传送了超长参数的话,就可能导致向本地系统下载任意文件。
HP Instant Support 1.0.0.22
临时解决方法:
厂商补丁:
HP已经为此发布了一个安全公告(HPSBMA02326)以及相应补丁:
HPSBMA02326:SSRT071490 rev.1 - HP Instant Support HPISDataManager.dll Running on Windows, Remote Execution of Arbitrary Code
链接:<a href=“http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01422264” target=“_blank”>http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01422264</a>