漏洞信息详情
Microsoft XML Core Services竞争条件内存破坏漏洞
- CNNVD编号:CNNVD-200701-063
- 危害等级: 超危
- CVE编号: CVE-2007-0099
- 漏洞类型: 竞争条件
- 发布时间: 2007-01-08
- 威胁类型: 远程
- 更新时间: 2009-03-04
- 厂 商: microsoft
- 漏洞来源: Michal Zalewski l...
漏洞简介
Microsoft XML Core Services(MSXML)允许使用jscript、VBScript和Visual Studio 6.0的用户开发基于XML的应用,以与其他遵循XML 1.0标准的应用程序交互操作。Microsoft XML Core Services解析XML内容的方式中存在一个竞争条件错误。如果用户浏览的网页或HTML电子邮件包含有大量嵌套标签(10到1000个),则在IFRAME中显示时Javascript定时器会反复中断渲染进程,强制帧大约每50到100毫秒重载一次。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据,或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.microsoft.com/technet/security/bulletin/ms08-069.mspx?pf=true
参考网址
来源: US-CERT
名称: TA08-316A
链接:http://www.us-cert.gov/cas/techalerts/TA08-316A.HTML
来源: BID
名称: 21872
链接:http://www.securityfocus.com/bid/21872
来源: MS
名称: MS08-069
链接:http://www.microsoft.com/technet/security/Bulletin/MS08-069.mspx
来源: VUPEN
名称: ADV-2008-3111
链接:http://www.frsirt.com/english/advisories/2008/3111
来源: BUGTRAQ
名称: 20070104 Re: RE: [Full-disclosure] Concurrency strikes MSIE (potentially exploitablemsxml3 flaws)
链接:http://www.securityfocus.com/archive/1/archive/1/456343/100/0/threaded
来源: BUGTRAQ
名称: 20070104 RE: [Full-disclosure] Concurrency strikes MSIE (potentially exploitablemsxml3 flaws)
链接:http://www.securityfocus.com/archive/1/archive/1/455986/100/0/threaded
来源: BUGTRAQ
名称: 20070104 Concurrency strikes MSIE (potentially exploitable msxml3 flaws)
链接:http://www.securityfocus.com/archive/1/archive/1/455965/100/0/threaded
来源: SECTRACK
名称: 1021164
链接:http://securitytracker.com/id?1021164
来源: SECUNIA
名称: 23655
链接:http://secunia.com/advisories/23655
来源: FULLDISC
名称: 20070104 Concurrency strikes MSIE (potentially exploitable msxml3 flaws)
链接:http://seclists.org/fulldisclosure/2007/Jan/0110.HTML
来源: OVAL
名称: oval:org.mitre.oval:def:5793
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:5793
来源: OSVDB
名称: 32627
链接:http://osvdb.org/32627
来源: MISC
链接:http://isc.sans.org/diary.php?storyid=2004
来源: FULLDISC
名称: 20070104 Re: Concurrency strikes MSIE (potentially exploitablemsxml3 flaws)
链接:http://archives.neohapsis.com/archives/fulldisclosure/2007-01/0113.HTML
受影响实体
- Microsoft Xml_core_services:3.0
补丁
暂无
评论