IBM Access Support ActiveX控件GetXMLValue()方式栈溢出漏洞

BUGTRAQ ID: 34228 CVE(CAN) ID: CVE-2009-0215 IBM Access Support ActiveX是一些联想和IBM计算机中所预装的用于收集系统信息的控件。 IBM Access Support ActiveX控件（IbmEgath.dll）没有正确地验证对GetXMLValue()方式所提供的输入。如果用户受骗访问了恶意网页并向该方式传送了超长参数的话，就可以触发栈溢出，导致浏览器崩溃或执行任意代码。 IBM Access Support ActiveX 临时解决方法： * 在IE中禁用IBM Access Support ActiveX控件，为以下CLSID设置kill bit： {74FFE28D-2378-11D5-990C-006094235084} 或者将以下文本保存为.REG文件并导入： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX Compatibility\\{74FFE28D-2378-11D5-990C-006094235084}] \&quot;Compatibility Flags\&quot;=dword:00000400 厂商补丁： IBM --- 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： <a href=http://www.ers.ibm.com/ target=_blank rel=external nofollow>http://www.ers.ibm.com/</a>