详细描述:
暴风影音是目前国内用户使用比较广泛的视频播放软件,它支持目前绝大多数的主流视频格式.
暴风影音mps.dll库所提供的MPS.StormPlayer.1 ActiveX控件没有正确的检查用户的输入,导致
存在一个缓冲溢出漏洞.攻击者可以通过浏览器(如IE)来调用此控件,并向其提供超长的参数就
可能导致漏洞被利用,成功的攻击可以让入侵者在用户的系统上执行任意代码.
影响系统:
暴风影音 2.7.9 .8
暴风影音 2.7.9 .10
暴风影音 2.9
暴风影音 2.8
暴风影音 2.8
风险:高
危害描述:
目前此漏洞已经被网页挂马攻击积极的利用.
解决方案:
厂商目前还没有提供相应的新版本或是补丁程序来修正此漏洞,建议用户随时关注厂商的动态:
http://www.baofeng.com/
在没有补丁程序之前,建议先卸载或停用系统上的暴风影音软件,并确保系统目录中的mps.dll库被删除.
参考连接:
http://secunia.com/advisories/34944/
