Microsoft XML核心服务XMLHTTP控件代码执行漏洞

受影响系统： Microsoft XML Core Services 4.0 - Microsoft Windows XP SP2 - Microsoft Windows Server 2003 SP1 - Microsoft Windows Server 2003 - Microsoft Windows 2000 SP4 描述： -------------------------------------------------------------------------------- BUGTRAQ ID: 20915 Microsoft XML核心服务（MSXML）允许使用JScript、VBScript和Microsoft Visual Studio 6.0的用户构建可与其他符合XML 1.0标准的应用程序相互操作的XML应用。在Microsoft XML Core Services 4.0的XMLHTTP 4.0 ActiveX控件中，setRequestHeader()函数没有正确地处理HTTP请求，允许攻击者诱骗用户访问恶意的站点导致执行任意指令。 <*来源：Microsoft 链接：http://secunia.com/advisories/22687/ http://www.microsoft.com/technet/security/advisory/927892.mspx?pf=true http://marc.theaimsgroup.com/?l=full-disclosure&m=116268675301419&w=2 *> 建议： -------------------------------------------------------------------------------- 临时解决方法： * 禁止在Internet Explorer中运行XMLHTTP 4.0 ActiveX控件。将以下内容粘贴到文本编辑器，然后使用.reg文件名扩展保存： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{88d969c5-f192-11d4-a65f-0040963251e5}] "Compatibility Flags"=dword:00000400 双击这个.reg文件应用到系统。 * 配置Internet Explorer在运行活动脚本之前要求提示，或在Internet和本地intranet区中禁用活动脚本。 * 将Internet和本地intranet安全区设置为“高”。厂商补丁： Microsoft --------- 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： http://www.microsoft.com/technet/security/

返回列表回复发帖

Microsoft XML核心服务XMLHTTP控件代码执行漏洞

[收藏此主题] [关注此主题的新回复]

[通过 QQ、MSN 分享给朋友]