发布日期：2007-08-28

　　更新日期：2007-08-29

　　受影响系统：

　　Oracle JInitiator 1.1.8.16

　　描述：

　　--------------------------------------------------------------------------------

　　BUGTRAQ ID: 25473

　　CVE(CAN) ID: CVE-2007-4467

　　Oracle JInitiator允许用户在WEB浏览器中运行Oracle Developer Server应用程序。

　　JInitiator中所捆绑的名为beans.ocx的ActiveX控件中存在多个栈溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。

　　如果用户受骗访问了恶意网页的话，就可能触发这个溢出，导致在用户机器上执行任意指令。

　　<*来源：Will Dormann

　　链接：http://secunia.com/advisories/26644/

　　http://www.kb.cert.org/vuls/id/474433

　　http://marc.info/?l=bugtraq&m=118961352004552&w=2

　　*>

　　建议：

　　--------------------------------------------------------------------------------

　　临时解决方法：

　　在IE中为以下CLSID设置kill bit：

　　{9b935470-ad4a-11d5-b63e-00c04faedb18}

　　或者将以下文本保存为.REG文件并导入：

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9b935470-ad4a-11d5-b63e-00c04faedb18}]

　　"Compatibility Flags"=dword:00000400

　　厂商补丁：

　　Oracle

　　------

　　目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://www.oracle.com