Microsoft Visual FoxPro 6.0自动应用程序执行漏洞发布时间:2002-09-11 更新时间:2002-09-11 严重程度:高 威胁程度:普通用户访问权限 错误类型:设计错误 利用方式:客户机模式 BUGTRAQ ID:5633 CVE(CAN) ID:CAN-2002-0696 受影响系统 Microsoft Visual FoxPro 6.0详细描述 Microsoft Visual FoxPro 6.0和实时组件存在漏洞可以使远程攻击者执行数据库和系统命令。 此漏洞由两个问题导致,第一个问题是FoxPro没有注册应用程序扩展(.app)到IE上,结果可导致IE下载FoxPro应用程序文件时没有任何警告,第二个问题是构造特殊的应用程序名可导致FoxProx不进行用户交互马上执行应用程序。 结合这两个漏洞,攻击者可以构造网页来进行数据库和系统命令执行。 需要注意的是不需要安装FOXPRO产品也存在此问题,因为其他应用程序也可能安装FOXPRO实时引擎,要检查FOXPRO是否安装,用户查询是否存在vfp6r.dll, vfp6t.dll,和vfp6run.exe 文件,如果存在就表示存在这个漏洞。 测试代码 无 解决方案 打开控制面板--选择工具选项--选择文件夹选项,选择文件类型,然后在注册文件类型中,选择“APP”选项,如果没有列表,就表示Visual FoxPro没有安装。 点击“高级”,点击“在下载后确认打开”,选择“OK”关闭所有对话框和窗口。 补丁下载: Microsoft Visual FoxPro 6.0: Microsoft Patch Q326568 http://www.microsoft.com/downloads/Release.asp?ReleaseID=42297 相关信息 参考:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-049.asp |
