第三方软件漏洞详情及解决方案

360安全中心在对当前机器狗木马进行深入分析后发现，机器狗等若干近期爆发的木马均是通过网页挂马的形式由系统漏洞及第三方软件漏洞入侵用户系统。

    当大部分用户已养成定时给系统打漏洞补丁的习惯后，木马制造者又看中了第三方软件漏洞传播这一“隐蔽”渠道。被利用的第三方ActiveX插件漏洞，涉及迅雷、暴风影音、百度超级搜霸、realplayer等多款常见软件的部分版本中，而且其中多数漏洞曾经是或者现在仍是0day漏洞。
    360安全中心建议广大用户对这些常见软件及时更新，在发现漏洞后及时修复，并使用360安全卫士提供的机器狗专杀进行检测：http://down.360safe.com/killer_rodog.exe（仅 0.5M 左右）。
    以下是360安全中心根据各大安全类站点报道，及自身的详细分析得出的常见第三方软件漏洞信息及解决方案，建议大家对照检查系统中软件是否是存在漏洞，及时修补。

【Yahoo! 助手 ActiveX 远程代码执行漏洞】
1. 漏洞说明
Yahoo! 助手中 ynotifier.dl ActiveX 控件存在漏洞，此漏洞允许执行任意代码，当用户浏览到黑客恶意构造的网页时，将在后台自动下载并执行木马病毒。

2. 存在漏洞版本
Yahoo! Assistant<=3.6 ( 04/23/2008 之前版本 )
3. 解决方法
建议通过修改注册表来修复：点击这个只能运行并修改注册表
4. 信息来源
http://secway.org/advisory/AD20080506CN.txt

【联众游戏大厅 0day 漏洞】
1. 漏洞说明
联众游戏大厅 GLIEDown2.dll ActiveX 控件含有 0day 漏洞，当用户安装含有漏洞的联众游戏大厅时，浏览到黑客构造的含有恶意代码的网页后，会在后台自动下载任意恶意程序，以当前用户上下文权限运行。

2. 存在漏洞版本
≤ 2.6.1 .31

2.8.1 .2.beta
3. 解决方法
下载官方补丁：电信下载网通下载

【RealPlayer】
1. 漏洞说明
RealPlayer的MPAMedia.dll库所提供的RealPlayer数据库组件在处理播放列表名时存在栈溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。由于可使用ierpplug.dll所提供的IERPCtl ActiveX控件将本地文件导入到RealPlayer中指定的播放列表，因此如果用户受骗访问了恶意网页并导入了恶意文件的话，就可以触发这个溢出，导致拒绝服务或执行任意指令。

2. 存在漏洞版本
RealPlayer11 Beta、RealPlayer10.5、RealPlayer10.6
3. 解决方法
建议您暂时卸载realplayer，安装其他播放类软件。
4. 信息来源
Sebug
5. 友情提示
即便是您的电脑中没有装RealPlayer，但仍然可能有此漏洞。因为只要有其他软件使用了RealPlayer的组件，就有可能存在此漏洞。

【RealPlayer (rmoc3260.dll)】
1. 漏洞说明
Real Player中rmoc3260.dll 控件溢出漏洞，此漏洞允许远程代码执行，当用户浏览到黑客恶意构造的网页时，将在后台自动下载并执行木马病毒。

2. 存在漏洞版本
目前发现包含（rmoc3260.dll版本号为6.0.9.3084 && 6.0.10.45）的realplayer软件会有此漏洞
3. 解决方法
下载最新官方版安装程序，点击这里立刻下载
4. 信息来源
http://milw0rm.com/exploits/5332

【暴风影音】
1. 漏洞说明
该漏洞发生在暴风影音II的一个activex控件上，当安装了暴风影音II的用户在浏览黑客精心构造的包含恶意代码的网页后，会下载任意程序在用户系统上以当前用户权限运行，已有多个网站利用暴风影音II漏洞进行挂马。

2. 存在漏洞版本
“暴风影音”2.8版和“暴风影音”2.9测试版

3. 解决方法
下载官方最新版本：点击这里下载
4. 信息来源
Secunia

【千千静听】
1. 漏洞说明
千千静听 med 文件格式堆溢出，此漏洞允许远程代码执行，用户在播放黑客精心构造的包含恶意代码的med声音文件或浏览包含恶意med声音文件时，会下载任意程序在用户系统上以当前用户上下文权限运行。

2. 存在漏洞版本
千千静听 5.1.0
3. 解决方法
目前官方尚未提供新版本解决该漏洞，可以通过修改注册表来修复：点击这里智能运行并修改注册表
请注意：采用注册表修复方式后，可能导致其web在线播放功能失效。
如果您想使用web在线播放功能，请您通过修改注册表开启被禁用的com组件：点击这里智能开启web在线播放
说明：重新开启后，当再次扫描时仍然会提示有漏洞。

【PPStream】
1. 漏洞说明
这个漏洞的产生是由于PPstream 的ActiveX 控件在处理畸形,含远程执行代码的网页时,存在一个远程执行代码的栈溢出漏洞；浏览者可能被远程用户控制而拿到SYSTEM权限。

2. 存在漏洞版本
PowerList.ocx 2.1.6.2916

3. 解决方法
下载最新官方版安装程序，点击这里立刻下载。
4. 信息来源
Sebug
5. 友情提示
即便是您的电脑中没有装PPStream，但仍然可能有此漏洞。因为只要有其他软件使用了PPStream的组建，就有可能存在此漏洞。

【迅雷】
1. 漏洞说明
迅雷的PPLAYER.DLL_1_WORK ActiveX控件实现上存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。

迅雷的PPLAYER.DLL_1_WORK ActiveX控件（pplayer.dll组件版本号1.2.3.49，CLSID：F3E70CEA-956E-49CC-B444-73AFE593AD7F）中的FlvPlayerUrl函数没有正确地验证用户提供参数，如果向其传递了超长参数就会触发缓冲区溢出，导致执行任意指令。目前这个漏洞正在被积极的利用。病毒作者可利用该漏洞编写恶意网页，当用户浏览这些网页的时候，就会感染病毒，该病毒可以盗窃用户的帐号和密码，从而使用户遭受到损失。

2. 存在漏洞版本
迅雷5.6.9.344

3. 解决方法
<1> 下载最新官方版安装程序，点击这里马上下载。
4. 信息来源
Secunia Sebug

【联众世界】≤2.6.129版
1. 漏洞说明
联众世界游戏大厅所带的ActiveX控件实现上存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。
联众世界游戏大厅所安装的GLCHAT.GLChatCtrl.1 ActiveX控件（GLChat.ocx）没有正确地处理ConnectAndEnterRoom()方式。如果用户受骗访问了恶意网页并向该方式传送了超常参数的话，就可能触发栈溢出，导致执行任意指令。目前这个漏洞正在被积极地利用。

2. 存在漏洞版本
≤2.6.129

3. 解决方法
下载最新官方版（2.6.1.31 正式版）：电信下载网通下载

4. 信息来源
Sebug blogspot

【联众世界】≤2.6.1.31版(含2.8.1.2.beta)
1. 漏洞说明
联众世界的游戏大厅主程序GLWorld所安装的HanGamePluginCn18.HanGamePluginCn18.1 ActiveX控件（HanGamePluginCn18.dll，CLSID：61F5C358-60FB-4A23-A312-D2B556620F20）在处理传送给hgs_startGame()和hgs_startNotify()方式的字符串参数时存在栈溢出漏洞。如果用户受骗访问了恶意网页并向这些方式传送了超长参数的话，就会触发这些溢出，导致执行任意代码。

目前这个漏洞正在被木马积极的利用。当木马入侵时，会试图从mm.sqmnoopt.com下载恶意文件；此外还会从cnxz.kv8.info下载配置文件，该文件中包含有从444.sqmnoopt.com和2.kv8.info所下载的27个恶意可执行程序的链接。

2. 存在漏洞版本
2.8.1.2.beta
≤2.6.1.31

3. 解决方法
下载官方补丁：点击这里下载联众安全补丁1.0.0.5

4. 信息来源
Silas Barnes

【百度搜霸工具条】
1. 漏洞说明
百度搜霸的C:Program FilesbaidubarBaiduBar.dll 文件提供ActiveX接口供网页进行调用，但是其中的DloadDS函数，允许攻击者在受害机器上执行任意代码。
DloadDS函数提供三个参数，分别是url地址，执行文件名，和是否显示。当url以.cab结尾时，搜霸会下载此文件到临时目录，随后以exe方式执行。

2. 存在漏洞版本
百度搜霸5.4 (BaiduBar.dll模块版本为 2.0.2.144)

3. 解决方法
下载最新版本：点击这里下载官方最新版
安装完成后需要重新启动您的电脑，否则仍然会被检查出漏洞。
4. 信息来源
insecure

【Adobe Reader】
1. 漏洞说明
Adobe Reader或Adobe Acrobat打开恶意PDF文件时可能会启动file:// URL，这可能导致读取系统上的任意文件并发送给攻击者。

2. 存在漏洞版本
7.0.8.0

3. 解决方法
下载最新官方版安装程序，点击这里立刻下载。
Adobe Reader 8.1.2支持以下系统：
Windows Vista； Windows XP Professional、Home Edition 或 Tablet PC Edition (带 Service Pack 2)；Windows 2000 (带 Service Pack 4)； Windows 2003 Server

4. 信息来源
Sebug

【Qvod Player】
1. 漏洞说明
Qvod Player的一个activex控件上，当安装了Qvod Player的用户在浏览到黑客精心构造的包含恶意代码的网页后，会下载任意程序在用户系统上以当前用户上下文权限运行。

2. 存在漏洞版本
Qvod Player 2.

3. 解决方法
下载最新官方版安装程序，点击这里立刻下载
4. 信息来源
DSW Lab

【PPLive】
1. 漏洞说明
ActiveX类型溢出，远程攻击者可能利用此漏洞控制用户系统。

2. 存在漏洞版本
pplive 1.8beat2

3. 解决方法
<1> 下载官方最新版本：点击这里下载PPlive最新客户端点击这里下载PPLive最新网页插件
4. 信息来源
cnbct

【Flash player】
1. 漏洞说明

Adobe Flash Player存在安全漏洞，黑客可利用恶意 Flash 动画（SWF 文件）攻击存在漏洞的系统；用户在播放含有恶意的Flash动画（SWF 文件）时，电脑可能被植入木马等恶意程序。

建议用户将 Flash Player 升级到最新版本 9.0.124.0

2. 存在漏洞版本
Adobe Flash Player 9.0.115.0 及之前版本

3. 解决方法
下载最新官方版安装程序点击这里立刻下载
4. 信息来源
http://www.adobe.com/support/security/bulletins/apsb08-11.html

【Skype】
1. 漏洞说明
Skype的ActiveX控件运行环境设置上存在漏洞，远程攻击者可能利用此漏洞在用户系统上执行任意指令。
Skype使用了Internet Explorer Web控件来渲染HTML内容并提供“add video to mood”和“add video to chat”功能。这些功能都是通过JS/ActiveX接口实现的，允许在IE的Local Zone安全环境中运行脚本。由于这个安全环境的安全级别设置比较低，因此如果用户受骗访问了恶意站点的话，就可能导致在用户机器上执行任意指令。

2. 存在漏洞版本
Skype Skype 3.6 3.5

3. 解决方法
目前官方尚未提供新版本解决该漏洞，可以通过修改注册表来修复：点击这里智能运行并修改注册表
说明：这是360给用户提供的临时解决办法，这样修复后，当再次扫描时仍然会提示有漏洞，请您不要疑虑。

点击上面连接后出现下面提示，这时候点击“运行”：

点击完“运行”之后会出现下面提示，这时候选择“是”，即可完成修复过程。

4. 信息来源
Sebug

【QuickTime】
1. 漏洞说明
QuickTime所安装的QTPlugin.ocx ActiveX控件在处理畸形参数数据时存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。

2. 存在漏洞版本
Apple QuickTime Player <= 7.4.1

3. 解决方法
目前官方尚未提供新版本解决该漏洞，可以通过修改注册表来修复：点击这里智能运行并修改注册表
说明：这是360给用户提供的临时解决办法，这样修复后，当再次扫描时仍然会提示有漏洞，请您不要疑虑。
4. 信息来源
nsfocus
5. 友情提示
即便是您的电脑中没有装QuickTime，但仍然可能有此漏洞。因为只要有其他软件使用了QuickTime的组件，就有可能存在此漏洞。

【超星阅读器】
1. 漏洞说明
漏洞发生在超星阅览器的一个activex控件上，当安装了超星阅览器的用户在浏览黑客精心构造的包含恶意代码的网页后，会下载任意程序在用户系统上以当前用户上下文权限运行。

2. 存在漏洞版本
超星阅览器4.0

3. 解决方法
目前官方尚未提供新版本解决该漏洞，可以通过修改注册表来修复：点击这里智能运行并修改注册表
说明：这是360给用户提供的临时解决办法，这样修复后，当再次扫描时仍然会提示有漏洞，请您不要疑虑。

4. 信息来源
DSW Lab ； DOSECU

【rmoc3260.dll】
1. 漏洞说明
rmoc3260.dll组件中存在一个安全漏洞，远程攻击者可能利用此漏洞控制用户系统。

2. 存在漏洞版本
rmoc3260.dll < 6.0.9.3084

3. 临时解决方法
请通过修改注册表来修复：点击这里智能运行并修改注册表

请注意：采用注册表修复方式后，可能导致不能观看部分网站的在线电影、在线电视等网络视频。

如果您想观看这些视频，请您再通过修改注册表开启被禁用的com组件：点击这里智能重新开启com组件
说明：com组件被重新开启后，当再次扫描时仍然会提示有漏洞。
4. 信息来源
Sebug

【ierpplug.dll】
1. 漏洞说明
使用ierpplug.dll所提供的IERPCtl ActiveX控件将本地文件导入到媒体播放软件中指定的播放列表，因此如果用户受骗访问了恶意网页并导入了恶意文件的话，就可以触发这个溢出，导致拒绝服务或执行任意指令。

2. 存在漏洞版本
ierpplug.dll < 1.0.1.3016

3. 临时解决方法
请通过修改注册表来修复：点击这里智能运行并修改注册表

请注意：采用注册表修复方式后，可能导致不能观看部分网站的在线电影、在线电视等网络视频。

如果您想观看这些视频，请通过修改注册表开启被禁用的com组件：点击这里智能重新开启com组件
说明：com组件被重新开启后，当再次扫描时仍然会提示有漏洞。
4. 信息来源
Sebug

【powerlist.ocx】
1. 漏洞说明
这个漏洞的产生是由于某软件的ActiveX 控件在处理畸形,含远程执行代码的网页时,存在一个远程执行代码的栈溢出漏洞；浏览者可能被远程用户控制而拿到SYSTEM权限。

2. 存在漏洞版本
PowerList.ocx < 2.1.6.2916

3. 临时解决方法
3. 解决方法

请通过修改注册表来修复，点击这里智能运行并修改注册表

请注意：采用注册表修复方式后，可能导致不能观看部分网站的在线电影、在线电视等网络视频。

如果您想观看这些视频，请通过修改注册表开启被禁用的com组件：点击这里智能重新开启com组件
说明：com组件被重新开启后，当再次扫描时仍然会提示有漏洞。
4. 信息来源
Sebug

【powerplayer.dll】
1. 漏洞说明
这个漏洞的产生是由于某软件的ActiveX 控件在处理畸形,含远程执行代码的网页时,存在一个远程执行代码的栈溢出漏洞；浏览者可能被远程用户控制而拿到SYSTEM权限。

2. 存在漏洞版本
powerplayer.dll < 2.0.1.3829

3. 临时解决方法
请通过修改注册表来修复，点击这里智能运行并修改注册表
请注意：可能导致不能观看部分网站的在线电影、在线电视等网络视频。

如果您想观看这些视频，请通过修改注册表开启被禁用的com组件：点击这里智能重新开启com组件
说明：com组件被重新开启后，当再次扫描时仍然会提示有漏洞。
4. 信息来源
Sebug

【rpau3260.dll】
1. 漏洞说明
rpau3260.dll组件中存在一个安全漏洞，远程攻击者可能利用此漏洞控制用户系统。

2. 存在漏洞版本
rrpau3260.dll < 6.0.9.3664

3. 临时解决方法
请通过修改注册表来修复，点击这里智能运行并修改注册表

请注意：采用注册表修复方式后，可能导致不能观看部分网站的在线电影、在线电视等网络视频。

如果您想观看这些视频，请通过修改注册表开启被禁用的com组件：点击这里智能重新开启com组件
说明：com组件被重新开启后，当再次扫描时仍然会提示有漏洞。
4. 信息来源
Sebug

【金山在线杀毒UpdateOcx2.dll COM组件】
1. 漏洞说明
金山在线杀毒中UpdateOcx2.dll组件含有漏洞，此漏洞允许远程代码执行，用户在浏览黑客精心构造的包含恶意代码的网页后，会下载任意程序在用户系统上以当前用户上下文权限运行。

2. 存在漏洞版本
UpdateOcx2.dll == 2007.12.29.29

3. 解决方法
金山在线杀毒最新版本，已经修复此漏洞。