Cisco Secure Desktop ActiveX控件可执行文件任意文件下载漏洞

Cisco Secure Desktop ActiveX控件可执行文件任意文件下载漏洞

发布日期：2011-02-23
更新日期：2011-02-23

受影响系统：
Cisco Cisco Secure Desktop Cisco Secure Desktop 3.5.841
Cisco Cisco Secure Desktop Cisco Secure Desktop 3.5.841
Cisco Cisco Secure Desktop Cisco Secure Desktop 3.5.1077
Cisco Cisco Secure Desktop Cisco Secure Desktop 3.4.2048
Cisco Cisco Secure Desktop Cisco Secure Desktop 3.2
Cisco Cisco Secure Desktop Cisco Secure Desktop 3.1.1.45
Cisco Cisco Secure Desktop Cisco Secure Desktop 3.1.1.33
Cisco Cisco Secure Desktop Cisco Secure Desktop 3.1.1
Cisco Cisco Secure Desktop Cisco Secure Desktop 3.1
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 46536
CVE ID: CVE-2011-0926

Cisco Secure Desktop可减少从公司管理PC、个人网络可接入设备还是从公共终端接入网络数据量，例如 Cookie、浏览器历史、临时文件以及SSL VPN 会话终止后遗留下来的下载内容。通过与 Cisco NAC 设备和Cisco NAC 框架的集成，还可以全面检查网络接入用户的端点状况。

Cisco Secure Desktop在实现上存在安全漏洞，攻击者可利用此漏洞上传下载恶意文件，以当前用户身份执行任意代码。

此漏洞源于CSDWebInstaller.ocx ActiveX控件，在验证证书链中的签署名称时错误地验证了Cisco Secure Desktop安装进程下载执行的可执行文件的数字签名。

<*链接：http://www.zerodayinitiative.com/advisories/ZDI-11-092/
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Cisco
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.cisco.com/warp/public/707/advisory.html