Microsoft XML核心服务XMLHTTP控件代码执行漏洞

2006-11-07T00:00:00
ID SSV:454
Type seebug
Reporter Root
Modified 2006-11-07T00:00:00

Description

Microsoft XML核心服务(MSXML)允许使用JScript、VBScript和Microsoft Visual Studio 6.0的用户构建可与其他符合XML 1.0标准的应用程序相互操作的XML应用。

在Microsoft XML Core Services 4.0的XMLHTTP 4.0 ActiveX控件中,setRequestHeader()函数没有正确地处理HTTP请求,允许攻击者诱骗用户访问恶意的站点导致执行任意指令。

Microsoft XML Core Services 4.0 - Microsoft Windows XP SP2 - Microsoft Windows Server 2003 SP1 - Microsoft Windows Server 2003 - Microsoft Windows 2000 SP4 临时解决方法:

  • 禁止在Internet Explorer中运行XMLHTTP 4.0 ActiveX控件。将以下内容粘贴到文本编辑器,然后使用.reg文件名扩展保存:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility{88d969c5-f192-11d4-a65f-0040963251e5}] "Compatibility Flags"=dword:00000400

双击这个.reg文件应用到系统。

  • 配置Internet Explorer在运行活动脚本之前要求提示,或在Internet和本地intranet区中禁用活动脚本。
  • 将Internet和本地intranet安全区设置为“高”。

厂商补丁:

Microsoft

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

<a href="http://www.microsoft.com/technet/security/" target="_blank">http://www.microsoft.com/technet/security/</a>