漏洞关键信息 漏洞名称: Groove Virtual Office COM objects may be accessed insecurely 漏洞编号: VU#155610 发布日期: 2005-05-19 最后修订: 2005-06-14 概览 Groove Virtual Office 可能允许绕过 COM 对象的访问限制。利用此漏洞可能允许攻击者执行任意代码。 描述 Groove Virtual Office 提供了一个协作工作环境,包括共享文档、数据库等其他工具,以促进通信和提高生产率。Microsoft COM 提供了Windows环境中对象之间通信的手段。Groove Virtual Office 使用许多COM对象来执行各种任务。在 Groove 存在一个漏洞,可以允许攻击者绕过 Groove 的安全性限制并任意使用 COM 对象的服务,如脚本执行。 影响 利用的后果取决于被攻击的 COM 对象。潜在的后果可能包括远程执行任意脚本代码、拒绝服务条件以及敏感信息的披露。 解决方案 此漏洞已在 Groove Virtual Office 3.1 build 2338、3.1a build 2364 和 Groove Workspace Version 2.5n build 1871 中得到解决。这些更新可从以下地址获取: http://www.groove.net/update http://www.groove.net/archive CVSS度量 基础 时间 环境 参考 http://www.groove.net http://www.groove.net/index.cfm?pageName=Support_Overview http://www.groove.net/update http://www.groove.net/archive http://www.securitytracker.com/id?1014019 http://www.securityfocus.com/bid/13685 致谢 此漏洞由 US-CERT 报告。