chw
Site Admin
註冊時間: 2006-01-02
文章: 180
|
發表於:
星期三 十一月 15, 2006 12:24 pm 文章主題:
[微軟資安][MS06-071]Microsoft XML Core Services 的弱點 |
|
|
影響平台:
受影響的元件
安裝在 Windows (所有版本) 的 Microsoft XML Core Services 4.0
安裝在 Windows (所有版本) 的 Microsoft XML Core Services 6.0
不受影響的軟體
Microsoft XML Core Services 3.0
Microsoft XML Core Services 5.0
Microsoft XML Core Services 6.0 Service Pack 1
概述:
這個更新程式能解決一項Microsoft XML Core Services新發現且公開揭發的弱點。攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。
說明:
Microsoft XML Core Services 內的 XMLHTTP ActiveX 控制項如果傳入預期之外的資料,可能導致 Internet Explorer 失敗而可能因此允許執行程式碼。攻擊者可建構蓄意製作的網頁,讓使用者造訪網頁或按一下電子郵件訊息中的連結時,即可能允許遠端執行程式碼,藉此利用這個弱點。成功利用此弱點的攻擊者可以取得受影響系統的完整控制權。 不過,如要利用此項弱點發動攻擊,必須要有相當程度的使用者互動才能奏效。
在許多攻擊案例中,攻擊者可能會架設網站,並在其中包含利用這類弱點的網頁。引誘使用者自行前往,而受侵害的網站以及接受或存放使用者提供之內容或廣告的網站裡,也可能含有蓄意製作以利用這類弱點的內容。另外也可能設法讓使用者按下電子郵件或 Instant Messenger 訊息中通往攻擊者網站的連結。攻擊者也可能使用橫幅廣告或其他方式來顯示蓄意製作的網頁內容,以便將內容傳遞到受影響的系統。成功利用這類弱點的攻擊者可以取得與本機使用者相同的使用者權限。此弱點需要使用者登入並造訪網站,才可能發生惡意行為。
更新程式能透過修改 XMLHTTP ActiveX 控制項執行參數驗證的方式,進而移除此項弱點
影響狀況:
遠端執行程式碼
解決方案:
請使用受影響系統的用戶,可利用Windows Auto Update或是連上Microsoft Update網站儘速進行安全性更新。
參考資料:
Microsoft 資訊安全網站:
http://www.microsoft.com/taiwan/technet/security/bulletin/ms06-071.mspx
資料來源:Microsoft 資訊安全網站 |
|