[编者按]相信有不少读者都在淘宝上进行过买卖交易，当然交易过程要尽量保证安全。所以很多读者都会在交易前通过淘宝旺旺沟通，而且淘宝旺旺自身也提供了直接调用商品和“我的淘宝”等需要验证页面的功能。然而最近淘宝旺旺却爆出了安全问题，

    据悉淘宝旺旺暴露出的ActiveX漏洞是由安全焦点公司最先发现的，他是继QQ，新浪UC等IM工具出现ActiveX漏洞后的又一例安全问题。

    漏洞危害——阿里巴巴淘宝旺旺ActiveX远程栈溢出漏洞被发现，远程攻击者可利用此漏洞在被攻击者系统上执行任意代码，进而可安装木马以及间谍程序，窃取相关敏感信息比如淘宝帐号/密码，或者支付宝帐号/密码。

    受感染版本——2006年12月22号之前的淘宝旺旺或者某些未升级版本，当然由于软件方面的设计，淘宝旺旺自动更新无效，当前仍然有大部分淘宝旺旺用户存在此安全隐患。

    漏洞原理——漏洞存在于由ActiveX控件"WangWangX3.dll"导出的"RunWangWang()"函数中，在该文件的代码中当设置超长的pWebParam值，将触发栈溢出。在漏洞原理上有点类似于之前的QQ ActiveX溢出。

    弥补漏洞——厂商偷偷修复了此漏洞，当前没发现任何更新信息以及安全公告。也就是说需要我们重新下载淘宝旺旺主程序并再次安装。另外对于没有升级的用户可以通过注册表对相应的CLSID设置Killbit。关于设置killbit可以参考http://support.microsoft.com/kb/240797。