SignKorea SKCommAX ActiveX控件远程溢出漏洞

CNNVD-ID编号	CNNVD-200703-642	CVE编号	CVE-2007-1722
发布时间	2007-03-27	更新时间	2007-03-29
漏洞类型	缓冲区溢出	漏洞来源	Park Gyu Tae※ saintlinu@null2root.org
危险等级	超危	威胁类型	远程
厂商	signkorea

漏洞介绍

SKCommAX的ActiveX控件是韩国银行、股票等在线银行服务常用的证书解决方案。

SKCommAX ActiveX控件的DownloadCertificateExt()函数没有正确验证UserID参数，如果用户访问了恶意站点的话就可能会触发缓冲区溢出，导致执行任意代码。

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.signkorea.com/eng/index.php

来源: VUPEN

名称: ADV-2007-1114

链接：http://www.frsirt.com/english/advisories/2007/1114
来源: SECUNIA

名称: 24587

链接：http://secunia.com/advisories/24587
来源: FULLDISC

名称: 20070327 SignKorea's ActiveX Buffer Overflow Vulnerability

链接：http://marc.info/?l=full-disclosure&m=117497124018827&w=2
来源: XF

名称: skcommax-downloadcertificate-bo(33245)

链接：http://xforce.iss.net/xforce/xfdb/33245