关键信息 漏洞概述: - 安全研究员 Andrew Brooks 报告了一个漏洞,当使用 ActiveX 的浏览器(通常是 Microsoft Internet Explorer)打开特制的 HTML 文档时,可能会发生该漏洞。 - 成功利用此漏洞可能会导致浏览器崩溃。 - 此攻击对 IntegraXor SCADA 服务器本身没有影响。 修复措施: - IGX 开发人员在报告后立即修补了漏洞,并在下一天发布了最新的版本。 - 可以从以下链接获取修补后的版本: http://www.integragxor.com/download/beta.msi?4.00.4283 - 所有低于构建 4283 的版本都会受到此漏洞的影响。建议用户下载并使用该版本或任何未来的修复版本来修复此 ActiveX 支持的浏览器漏洞。 防范建议: - 提醒用户,IntegraXor SCADA 模拟器完全基于标准的 Web 技术,不需要依赖任何使用 ActiveX 或 Java Applet 系统等插件开发的内容。 - 当运行 IntegraXor 时,请不要接受任何外部 ActiveX 内容(网页)。使用 Firefox、Chrome 或 Safari 的用户不会受到此漏洞的影响。 事件摘要: - 2012 年 12 月 12 日,ICS CERT 联系了 IntegraXor 支持团队。 - 2012 年 12 月 13 日,收到漏洞的技术报告并确认了 POC。 - 2012 年 12 月 14 日,发布用于下载的修复版本。 - 2013 年 1 月 3 日,安全研究员确认漏洞已修复并发布了公共通知。