发布日期：2002-05-27
更新日期：2002-06-03

受影响系统：

Microsoft Windows XP Professional
Microsoft Windows XP Home
Microsoft Windows NT 4.0SP6a
Microsoft Windows NT 4.0SP6
Microsoft Windows NT 4.0SP5
Microsoft Windows NT 4.0SP4
Microsoft Windows NT 4.0SP3
Microsoft Windows NT 4.0SP2
Microsoft Windows NT 4.0SP1
Microsoft Windows NT 4.0
Microsoft Windows ME
Microsoft Windows 98
Microsoft Windows 95
Microsoft Windows 2000SP2
Microsoft Windows 2000SP1
Microsoft Windows 2000

描述：

---

BUGTRAQ  ID: 4857
CVE(CAN) ID: CVE-2002-0823

HTML帮助ActiveX控件（Hhctrl.ocx）由Microsoft HTML Help附带，设计用于与Internet Explorer一起提供帮助功能。

HTML帮助ActiveX控件存在漏洞，可导致远程攻击者进行拒绝服务攻击。

HTML帮助ActiveX控件存在基于栈和堆的缓冲区溢出，攻击者可以构建包含恶意数据的Web页面，当用户浏览此链接时，可导致拒绝服务攻击，精心构建提交数据可导致以SYSTEM的权限在客户端系统上执行任意命令。

在Microsoft提供补丁之后，NGSSoftware将提供详细技术细节。

<*来源：Next Generation Security Software
  
  链接：http://www.nextgenss.com/vna/ms-whelp.txt
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 改名或者删除HTML帮助ActiveX控件（Hhctrl.ocx）并关闭Active脚本。

厂商补丁：

Microsoft
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/technet/

浏览次数：2886
严重程度：0（网友投票）