发布日期：2004-04-19
更新日期：2004-04-29

受影响系统：

Softwin BitDefender

描述：

---

BUGTRAQ  ID: 10175
CVE(CAN) ID: CVE-2004-1947

BitDefender Scan Online是一款多功能的反病毒产品，包含基于WEB接口的在线扫描系统。

BitDefender AvxScanOnlineCtrl COM对象存在设计错误，远程攻击者利用这个漏洞获得系统敏感信息如文件夹信息。

"BitDefender Scan Online"下载和注册如下AvxScanOnlineCtrl COM对象：

"AVXSCANONLINE.AvxScanOnlineCtrl.1"
With the following CLSID:
80DD2229-B8E4-4C77-B72F-F22972D723EA

所有属性和函数可使用如下形式访问(HTML对象标记建立的对象)：

"<OBJECT id=mymy
codeBase=http://www.bitdefender.com/scan/Msie/bitdefender.cab#version=3,0,0,
1
hspace=0 vspace=0 align="top"
classid=CLSID:80DD2229-B8E4-4C77-B72F-F22972D723EA
width=405 height=180>"

利用这个问题可获取用户信息，允许远程用户查看所有驱动盘和文件夹信息。

<*来源：Rafel Ivgi, The-Insider （nuritrv18@bezeqint.net）
  
  链接：http://marc.theaimsgroup.com/?t=108240641500010&r=1&w=2
*>

建议：

---

厂商补丁：

Softwin
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.bitdefender.com/

浏览次数：4614
严重程度：0（网友投票）