第三方软件漏洞详情及解决方案.doc

1、360安全中心在对当前机器狗木马进行深入分析后发现，机器狗等若干近期爆发的木马均是通过网页挂马的形式由系统漏洞及第三方软件漏洞入侵用户系统。 当大部分用户已养成定时给系统打漏洞补丁的习惯后，木马制造者又看中了第三方软件漏洞传播这一“隐蔽”渠道。被利用的第三方ActiveX插件漏洞，涉及迅雷、暴风影音、百度超级搜霸、realplayer等多款常见软件的部分版本中，而且其中多数漏洞曾经是或者现在仍是0day漏洞。 360安全中心建议广大用户对这些常见软件及时更新，在发现漏洞后及时修复，并使用360安全卫士提供的机器狗专杀进行检测： 0.5M 左右）。 以下是360安全中心根据各大安全类站点报道，及

2、自身的详细分析得出的常见第三方软件漏洞信息及解决方案，建议大家对照检查系统中软件是否是存在漏洞，及时修补。 【RealPlayer】1. 漏洞说明RealPlayer的MPAMedia.dll库所提供的RealPlayer数据库组件在处理播放列表名时存在栈溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。由于可使用ierpplug.dll所提供的IERPCtl ActiveX控件将本地文件导入到RealPlayer中指定的播放列表，因此如果用户受骗访问了恶意网页并导入了恶意文件的话，就可以触发这个溢出，导致拒绝服务或执行任意指令。 2. 存在漏洞版本RealPlayer11 Beta、RealP

3、layer10.5、RealPlayer10.63. 解决方法建议您暂时卸载realplayer，安装其他播放类软件。4. 信息来源Sebug 5. 友情提示即便是您的电脑中没有装RealPlayer，但仍然可能有此漏洞。因为只要有其他软件使用了RealPlayer的组件，就有可能存在此漏洞。 【RealPlayer (rmoc3260.dll)】1. 漏洞说明Real Player中rmoc3260.dll 控件溢出漏洞，此漏洞允许远程代码执行，当用户浏览到黑客恶意构造的网页时，将在后台自动下载并执行木马病毒。 2. 存在漏洞版本目前发现包含（rmoc3260.dll版本号为6.0.9.30

4、84 & 6.0.10.45）的realplayer软件会有此漏洞3. 解决方法下载最新官方版安装程序，点击这里立刻下载4. 信息来源 【暴风影音】1. 漏洞说明该漏洞发生在暴风影音II的一个activex控件上，当安装了暴风影音II的用户在浏览黑客精心构造的包含恶意代码的网页后，会下载任意程序在用户系统上以当前用户权限运行，已有多个网站利用暴风影音II漏洞进行挂马。 2. 存在漏洞版本“暴风影音”2.8版和“暴风影音”2.9测试版3. 解决方法下载官方最新版本：点击这里下载4. 信息来源Secunia 【千千静听】1. 漏洞说明千千静听 med 文件格式堆溢出，此漏洞允许远程代码执行，用户在

5、播放黑客精心构造的包含恶意代码的med声音文件或浏览包含恶意med声音文件时，会下载任意程序在用户系统上以当前用户上下文权限运行。 2. 存在漏洞版本千千静听 5.1.03. 解决方法目前官方尚未提供新版本解决该漏洞，可以通过修改注册表来修复：点击这里智能运行并修改注册表 请注意：采用注册表修复方式后，可能导致其web在线播放功能失效。如果您想使用web在线播放功能，请您通过修改注册表开启被禁用的com组件：点击这里智能开启web在线播放 说明：重新开启后，当再次扫描时仍然会提示有漏洞。 【PPStream】1. 漏洞说明这个漏洞的产生是由于PPstream 的ActiveX 控件在处理畸形,

6、含远程执行代码的网页时,存在一个远程执行代码的栈溢出漏洞；浏览者可能被远程用户控制而拿到SYSTEM权限。 2. 存在漏洞版本PowerList.ocx 2.1.6.29163. 解决方法下载最新官方版安装程序，点击这里立刻下载。4. 信息来源Sebug 5. 友情提示即便是您的电脑中没有装PPStream，但仍然可能有此漏洞。因为只要有其他软件使用了PPStream的组建，就有可能存在此漏洞。 【迅雷】1. 漏洞说明 迅雷的PPLAYER.DLL_1_WORK ActiveX控件实现上存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。 迅雷的PPLAYER.DLL_1_WORK Ac

7、tiveX控件（pplayer.dll组件版本号1.2.3.49，CLSID：F3E70CEA-956E-49CC-B444-73AFE593AD7F）中的FlvPlayerUrl函数没有正确地验证用户提供参数，如果向其传递了超长参数就会触发缓冲区溢出，导致执行任意指令。目前这个漏洞正在被积极的利用。病毒作者可利用该漏洞编写恶意网页，当用户浏览这些网页的时候，就会感染病毒，该病毒可以盗窃用户的帐号和密码，从而使用户遭受到损失。2. 存在漏洞版本迅雷5.6.9.3443. 解决方法 下载最新官方版安装程序，点击这里马上下载。4. 信息来源Secunia Sebug 【联众世界】2.6.129版1

8、. 漏洞说明 联众世界游戏大厅所带的ActiveX控件实现上存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。 联众世界游戏大厅所安装的GLCHAT.GLChatCtrl.1 ActiveX控件（GLChat.ocx）没有正确地处理ConnectAndEnterRoom()方式。如果用户受骗访问了恶意网页并向该方式传送了超常参数的话，就可能触发栈溢出，导致执行任意指令。目前这个漏洞正在被积极地利用。 2. 存在漏洞版本2.6.1293. 解决方法下载最新官方版（2.6.1.31 正式版）：电信下载 网通下载4. 信息来源Sebug blogspot 【联众世界】2.6.1.31版(含2

9、.8.1.2.beta)1. 漏洞说明 联众世界的游戏大厅主程序GLWorld所安装的HanGamePluginCn18.HanGamePluginCn18.1 ActiveX控件（HanGamePluginCn18.dll，CLSID：61F5C358-60FB-4A23-A312-D2B556620F20）在处理传送给hgs_startGame()和hgs_startNotify()方式的字符串参数时存在栈溢出漏洞。如果用户受骗访问了恶意网页并向这些方式传送了超长参数的话，就会触发这些溢出，导致执行任意代码。 目前这个漏洞正在被木马积极的利用。当木马入侵时，会试图从下载恶意文件；此外还会从

10、cnxz.kv8.info下载配置文件，该文件中包含有从和2.kv8.info所下载的27个恶意可执行程序的链接。2. 存在漏洞版本2.8.1.2.beta 2.6.1.313. 解决方法下载官方补丁：点击这里下载联众安全补丁1.0.0.5 4. 信息来源Silas Barnes 【百度搜霸工具条】1. 漏洞说明 百度搜霸的C:Program FilesbaidubarBaiduBar.dll 文件提供ActiveX接口供网页进行调用，但是其中的DloadDS函数，允许攻击者在受害机器上执行任意代码。 DloadDS函数提供三个参数，分别是url地址，执行文件名，和是否显示。当url以.cab

11、结尾时，搜霸会下载此文件到临时目录，随后以exe方式执行。 2. 存在漏洞版本百度搜霸5.4 (BaiduBar.dll模块版本为 2.0.2.144)3. 解决方法下载最新版本：点击这里下载官方最新版安装完成后需要重新启动您的电脑，否则仍然会被检查出漏洞。4. 信息来源insecure 【Adobe Reader】1. 漏洞说明Adobe Reader或Adobe Acrobat打开恶意PDF文件时可能会启动file:/ URL，这可能导致读取系统上的任意文件并发送给攻击者。 2. 存在漏洞版本7.0.8.03. 解决方法下载最新官方版安装程序，点击这里立刻下载。 Adobe Reader

12、8.1.2支持以下系统：Windows Vista； Windows XP Professional、Home Edition 或 Tablet PC Edition (带 Service Pack 2)；Windows 2000 (带 Service Pack 4)； Windows 2003 Server 4. 信息来源Sebug 【Qvod Player】1. 漏洞说明Qvod Player的一个activex控件上，当安装了Qvod Player的用户在浏览到黑客精心构造的包含恶意代码的网页后，会下载任意程序在用户系统上以当前用户上下文权限运行。 2. 存在漏洞版本Qvod Playe

13、r 2. 3. 解决方法下载最新官方版安装程序，点击这里立刻下载4. 信息来源DSW Lab 【PPLive】1. 漏洞说明ActiveX类型溢出，远程攻击者可能利用此漏洞控制用户系统。 2. 存在漏洞版本pplive 1.8beat23. 解决方法 下载官方最新版本：点击这里下载PPlive最新客户端 点击这里下载PPLive最新网页插件4. 信息来源cnbct 【Flash player】1. 漏洞说明 Adobe Flash Player存在安全漏洞，黑客可利用恶意 Flash 动画（SWF 文件）攻击存在漏洞的系统；用户在播放含有恶意的Flash动画（SWF 文件）时，电脑可能被植入木

14、马等恶意程序。建议用户将 Flash Player 升级到最新版本 9.0.124.02. 存在漏洞版本Adobe Flash Player 9.0.115.0 及之前版本3. 解决方法下载最新官方版安装程序 点击这里立刻下载 4. 信息来源 【Skype】1. 漏洞说明 Skype的ActiveX控件运行环境设置上存在漏洞，远程攻击者可能利用此漏洞在用户系统上执行任意指令。 Skype使用了Internet Explorer Web控件来渲染HTML内容并提供“add video to mood”和“add video to chat”功能。这些功能都是通过JS/ActiveX接口实现的，允

15、许在IE的Local Zone安全环境中运行脚本。由于这个安全环境的安全级别设置比较低，因此如果用户受骗访问了恶意站点的话，就可能导致在用户机器上执行任意指令。 2. 存在漏洞版本Skype Skype 3.6 3.53. 解决方法目前官方尚未提供新版本解决该漏洞，可以通过修改注册表来修复：点击这里智能运行并修改注册表说明：这是360给用户提供的临时解决办法，这样修复后，当再次扫描时仍然会提示有漏洞，请您不要疑虑。点击上面连接后出现下面提示，这时候点击“运行”： 点击完“运行”之后会出现下面提示，这时候选择“是”，即可完成修复过程。4. 信息来源Sebug 【QuickTime】1. 漏洞说明

16、QuickTime所安装的QTPlugin.ocx ActiveX控件在处理畸形参数数据时存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。 2. 存在漏洞版本Apple QuickTime Player = 7.4.13. 解决方法目前官方尚未提供新版本解决该漏洞，可以通过修改注册表来修复：点击这里智能运行并修改注册表说明：这是360给用户提供的临时解决办法，这样修复后，当再次扫描时仍然会提示有漏洞，请您不要疑虑。4. 信息来源nsfocus5. 友情提示即便是您的电脑中没有装QuickTime，但仍然可能有此漏洞。因为只要有其他软件使用了QuickTime的组件，就有可能存在此漏洞

17、。 【超星阅读器】1. 漏洞说明漏洞发生在超星阅览器的一个activex控件上，当安装了超星阅览器的用户在浏览黑客精心构造的包含恶意代码的网页后，会下载任意程序在用户系统上以当前用户上下文权限运行。 2. 存在漏洞版本超星阅览器4.03. 解决方法目前官方尚未提供新版本解决该漏洞，可以通过修改注册表来修复：点击这里智能运行并修改注册表说明：这是360给用户提供的临时解决办法，这样修复后，当再次扫描时仍然会提示有漏洞，请您不要疑虑。4. 信息来源DSW Lab ； DOSECU 【瑞星在线杀毒2007】1. 漏洞说明“瑞星在线杀毒2007”产品控件中存在一个安全缺陷,黑客有可能利用该缺陷威胁用户

18、的电脑安全. 2. 存在漏洞版本存在漏洞的是一个组件，无法提供具体软件版本。3. 解决方法下载最新官方版安装程序：点击这里下载。 4. 信息来源securityfocus 【rmoc3260.dll】1. 漏洞说明 rmoc3260.dll组件中存在一个安全漏洞，远程攻击者可能利用此漏洞控制用户系统。 2. 存在漏洞版本rmoc3260.dll 6.0.9.30843. 临时解决方法请通过修改注册表来修复：点击这里智能运行并修改注册表请注意：采用注册表修复方式后，可能导致不能观看部分网站的在线电影、在线电视等网络视频。如果您想观看这些视频，请您再通过修改注册表开启被禁用的com组件：点击这里智

19、能重新开启com组件说明：com组件被重新开启后，当再次扫描时仍然会提示有漏洞。 4. 信息来源Sebug 【ierpplug.dll】1. 漏洞说明 使用ierpplug.dll所提供的IERPCtl ActiveX控件将本地文件导入到媒体播放软件中指定的播放列表，因此如果用户受骗访问了恶意网页并导入了恶意文件的话，就可以触发这个溢出，导致拒绝服务或执行任意指令。 2. 存在漏洞版本ierpplug.dll 1.0.1.30163. 临时解决方法请通过修改注册表来修复：点击这里智能运行并修改注册表请注意：采用注册表修复方式后，可能导致不能观看部分网站的在线电影、在线电视等网络视频。如果您想观

20、看这些视频，请通过修改注册表开启被禁用的com组件：点击这里智能重新开启com组件说明：com组件被重新开启后，当再次扫描时仍然会提示有漏洞。 4. 信息来源Sebug 【powerlist.ocx】1. 漏洞说明 这个漏洞的产生是由于某软件的ActiveX 控件在处理畸形,含远程执行代码的网页时,存在一个远程执行代码的栈溢出漏洞；浏览者可能被远程用户控制而拿到SYSTEM权限。 2. 存在漏洞版本PowerList.ocx 2.1.6.29163. 临时解决方法3. 解决方法请通过修改注册表来修复，点击这里智能运行并修改注册表请注意： 采用注册表修复方式后，可能导致不能观看部分网站的在线电影

21、、在线电视等网络视频。如果您想观看这些视频，请通过修改注册表开启被禁用的com组件：点击这里智能重新开启com组件说明：com组件被重新开启后，当再次扫描时仍然会提示有漏洞。 4. 信息来源Sebug 【powerplayer.dll】1. 漏洞说明 这个漏洞的产生是由于某软件的ActiveX 控件在处理畸形,含远程执行代码的网页时,存在一个远程执行代码的栈溢出漏洞；浏览者可能被远程用户控制而拿到SYSTEM权限。 2. 存在漏洞版本powerplayer.dll 2.0.1.38293. 临时解决方法请通过修改注册表来修复，点击这里智能运行并修改注册表请注意：可能导致不能观看部分网站的在线电

22、影、在线电视等网络视频。如果您想观看这些视频，请通过修改注册表开启被禁用的com组件：点击这里智能重新开启com组件说明：com组件被重新开启后，当再次扫描时仍然会提示有漏洞。 4. 信息来源Sebug 【rpau3260.dll】1. 漏洞说明 rpau3260.dll组件中存在一个安全漏洞，远程攻击者可能利用此漏洞控制用户系统。 2. 存在漏洞版本rrpau3260.dll 6.0.9.36643. 临时解决方法请通过修改注册表来修复，点击这里智能运行并修改注册表请注意：采用注册表修复方式后，可能导致不能观看部分网站的在线电影、在线电视等网络视频。如果您想观看这些视频，请通过修改注册表开启被禁用的com组件：点击这里智能重新开启com组件说明：com组件被重新开启后，当再次扫描时仍然会提示有漏洞。 4. 信息来源Sebug 【金山在线杀毒UpdateOcx2.dll COM组件】1. 漏洞说明 金山在线杀毒中UpdateOcx2.dll组件含有漏洞，此漏洞允许远程代码执行，用户在浏览黑客精心构造的包含恶意代码的网页后，会下载任意程序在用户系统上以当前用户上下文权限运行。 2. 存在漏洞版本UpdateOcx2.dll = 2007.12.29.293. 解决方法金山在线杀毒最新版本，已经修复此漏洞。