百度工具条出现下载任意文件执行漏洞

2007年8月3日 | 分类: 信息安全 | 标签: , ,

百度搜霸工具条出现高危漏洞,访问恶意网页,会下载木马执行,最新版本的工具条也受漏洞影响.百度搜霸的BaiduBar.dll文件提供ActiveX接口供网页进行调用,但是其中的DloadDS函数,允许攻击者在受害机器上执行任意代码.DloadDS函数提供三个参数,分别是url地址,执行文件名,和是否显示.当url以.cab结尾时,搜霸会下载此文件到临时目录,随后以exe方式执行

目前还没有任何评论.