UUSee网络电视2008升级控件漏洞被木马利用

　　UUSee网络电视2008是悠视网提供的一款全新网络电视收看软件。UUSee网络电视2008在安装的时候注册了几个ActiveX控件控件，其中一个控件用于升级UUSee。

　　发布日期：2008-06-26

　　更新日期：2008-06-30

　　受影响系统：

　　悠视网 UUSee网络电视 2008

　　描述：

　　----------------------------------------------------------------------------

　　BUGTRAQ ID: 29963

　　UUSee网络电视2008是悠视网提供的一款全新网络电视收看软件。

　　UUSee网络电视2008在安装的时候注册了几个ActiveX控件控件，其中一 个控件用于升级UUSee。该控件clssid为：{2CACD7BB-1C59-4BBB-8E81-6E83F82C813B}，对应dll：C: PROGRA~1COMMON~1uuseeUUUPGR~1.OCX。由于UUUpgrade.ocx没有对升级文件的来源进行验证，导致恶意攻 击者可以通过构造伪造的升级文件导致UUSee网络电视下载攻击者指定的文件并运行。

　　目前这个漏洞正在被名为Exploit.Win32.UuSee.gen的木马积极地利用。

　　<*来源：cnfuzzer （cnfuzzer@hotmail.com）

　　链接：http://tieba.baidu.com/f?kz=411097036

　　*>

　　建议：

　　----------------------------------------------------------------------------

　　临时解决方法：

　　将下面内容保存为.reg文件并双击导入注册表：

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet Explorer

　　ActiveX Compatibility{2CACD7BB-1C59-4BBB-8E81-6E83F82C813B}]

　　"Compatibility Flags"=dword:00000400

　　厂商补丁：

　　悠视网

　　------

　　目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

　　http://www.uusee.com/download