MSXML未初始化内存破坏漏洞 (MS12-043)

2012-07-11T00:00:00
ID SSV:60271
Type seebug
Reporter Root
Modified 2012-07-11T00:00:00

Description

CVE ID: CVE-2012-1889

Microsoft XML核心服务(MSXML)允许使用JScript、VBScript和Microsoft Visual Studio 6.0的用户构建可与其他符合XML 1.0标准的应用程序相互操作的XML应用。

Microsoft XML Core Services 3.0、4.0、5.0、6.0在访问未初始化内存位置时存在安全漏洞,可允许远程攻击者通过特制的网站执行任意代码或造成拒绝服务。 0 Microsoft Windows 临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

  • 应用XML Core Services 5.0的Microsoft Fix it解决方案。

  • 配置IE,在运行活动脚本时提示或禁用

  • 在IE中阻止ActiveX控件

厂商补丁:

Microsoft

Microsoft已经为此发布了一个安全公告(2719615)以及相应补丁:

2719615:Microsoft XML Core Services 中的漏洞可能允许远程执行代码

链接:http://technet.microsoft.com/zh-cn/security/advisory/2719615