漏洞关键信息 标题: Panasonic Security API SDK Ipropsapi ActiveX Control FilePassword Stack Buffer Overflow Remote Code Execution Vulnerability 漏洞ID: - ZDI-15-260 - ZDI-CAN-2752 CVE ID: CVE-2015-4647 CVSS Score: 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P) 受影响的厂商: Panasonic 受影响的产品: Security API SDK Trend Micro 客户保护: - Trend Micro TippingPoint IPS 客户通过 Digital Vaccine 保护过滤器 ID [19546] 受保护。 - 有关 TippingPoint IPS 的产品信息,请访问: [](http://www.tippingpoint.com) 漏洞细节: - 该漏洞可能会允许远程攻击者在易受攻击的 Panasonic Security API SDK 安装上执行任意代码。 漏洞利用需要用户交互,目标必须访问恶意页面或打开恶意文件。 - 具体的漏洞存在于 FilePassword 属性中。 通过将 FilePassword 设置为非常长的字符串,攻击者可以导致定长堆栈缓冲区溢出。 攻击者可以利用此漏洞在当前进程的上下文中执行代码。 其他细节: - Panasonic 已发布更新以修复此漏洞。 更多细节可以在以下地址找到: [](http://security.panasonic.com/pss/security/library/developer.html#SDK) 披露时间线: - 2015-02-26 - 向厂商报告漏洞 - 2015-06-24 - 协调发布漏洞通知公告 发现者: Ariele Caltabiano (kimiya)