| CNNVD-ID编号 | CNNVD-200904-013 |
| CVE编号 | CVE-2009-1212 |
| 发布时间 | 2009-03-31 |
| 更新时间 | 2009-04-16 |
| 漏洞类型 | 其他 |
| 漏洞来源 | Digital Security Research Group |
| 危险等级 | 高危 |
| 威胁类型 | 远程 |
| 厂 商 | precisionid |
PrecisionID Data Matrix是用于生成二维条码的工具。
PrecisionID所提供的DMATRIXLib.Datamatrix ActiveX控件没有正确地验证用户对SaveBarCode()和SaveEnhWMF()方式所提交的输入参数: Sub SaveBarCode ( ByVal path As String ) Sub SaveEnhWMF ( ByVal path As String ) 如果用户受骗访问了恶意网页并向上述方式传送了恶意参数的话,就可能导致向系统上任意位置写入文件。
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.precisionid.com
来源: BID
名称: 34322
来源: BUGTRAQ
名称: 20090331 [DSECRG-09-030] PrecisionID Datamatrix ActiveX control - Arbitrary File overwriting
链接:http://www.securityfocus.com/archive/1/archive/1/502319/100/0/threaded
来源: MILW0RM
名称: 8332