Autodesk IDrop ActiveX控件出漏洞

受影响系统：

Autodesk IDrop ActiveX 17.1.51.160

描述：

BUGTRAQ ID: 34352

I-drop功能是Autodesk公司产品中所提供的技术，允许用户从Internet上将纹理、灯光、模型等对象直接拖到设计环境中。

为了实现I-drop技术，用户需要安装i-drop indicator程序。该程序所提供的Autodesk IDrop ActiveX控件（IDrop.ocx）没有正确地验证用户对Src、Background和PackageXml属性所传送的参数。如果用户受骗访问了恶意网页并向上述属性传送了超长参数，就可以触发堆溢出，导致执行任意代码。

链接：http://marc.info/?l=full-disclosure&m=123870112214736&w=2

*

建议：

--------------------------------------------------------------------------------

临时解决方法：

* 为CLSID {21E0CB95-1198-4945-A3D2-4BF804295F78}设置kill-bit。

厂商补丁：

Autodesk

--------

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://usa.autodesk.com/adsk/servlet/index?siteID=123112&id=2753219&linkID=9240618