VULHUB ™

BUGTRAQ ID: 35982 CVE(CAN) ID: CVE-2009-2494 Microsoft Windows是微软发布的非常流行的操作系统。 Windows的活动模板库（ATL）头可能允许从数据流中读取变量而通过无效变量读取变量类型，导致在删除变量时可能会释放攻击者所控制的非预期内存区。如果用户加载了恶意网站上的特制组件或控件，这个漏洞可以允许远程执行代码。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。 Microsoft Windows XP SP3 Microsoft Windows XP SP2 Microsoft Windows XP Media Center Edition 2005 Microsoft Windows Vista SP2 Microsoft Windows Vista SP1 Microsoft Windows Vista Microsoft Windows Server 2008 SP2 Microsoft Windows Server 2008 Microsoft Windows Server 2003 SP2 Microsoft Windows 2000SP4 临时解决方法： * 将Internet Explorer配置为在Internet和本地Intranet安全区域中运行ActiveX控件之前进行提示。 * 将Internet和本地Intranet安全区域设置设为“高”，以便在这些区域中运行ActiveX控件和活动脚本之前进行提示。 厂商补丁： Microsoft --------- Microsoft已经为此发布了一个安全公告（MS09-037）以及相应补丁: MS09-037：Vulnerabilities in Microsoft Active Template Library (ATL) Could Allow Remote Code Execution (973908) 链接：http://www.microsoft.com/technet/security/bulletin/MS09-037.mspx?pf=true

BUGTRAQ ID: 35982 CVE(CAN) ID: CVE-2009-2494 Microsoft Windows是微软发布的非常流行的操作系统。 Windows的活动模板库（ATL）头可能允许从数据流中读取变量而通过无效变量读取变量类型，导致在删除变量时可能会释放攻击者所控制的非预期内存区。如果用户加载了恶意网站上的特制组件或控件，这个漏洞可以允许远程执行代码。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。 Microsoft Windows XP SP3 Microsoft Windows XP SP2 Microsoft Windows XP Media Center Edition 2005 Microsoft Windows Vista SP2 Microsoft Windows Vista SP1 Microsoft Windows Vista Microsoft Windows Server 2008 SP2 Microsoft Windows Server 2008 Microsoft Windows Server 2003 SP2 Microsoft Windows 2000SP4 临时解决方法： * 将Internet Explorer配置为在Internet和本地Intranet安全区域中运行ActiveX控件之前进行提示。 * 将Internet和本地Intranet安全区域设置设为“高”，以便在这些区域中运行ActiveX控件和活动脚本之前进行提示。 厂商补丁： Microsoft --------- Microsoft已经为此发布了一个安全公告（MS09-037）以及相应补丁: MS09-037：Vulnerabilities in Microsoft Active Template Library (ATL) Could Allow Remote Code Execution (973908) 链接：http://www.microsoft.com/technet/security/bulletin/MS09-037.mspx?pf=true