Microsoft XML Core Services竞争条件内存破坏漏洞

admin
admin
admin
0
文章
0
评论
2022-07-23 00:32:52 CNNVD漏洞 来源:ZONE.CI 全球网 0 阅读模式

漏洞信息详情

Microsoft XML Core Services竞争条件内存破坏漏洞

  • CNNVD编号:CNNVD-200701-063
  • 危害等级: 超危
  • CVE编号: CVE-2007-0099
  • 漏洞类型: 竞争条件
  • 发布时间: 2007-01-08
  • 威胁类型: 远程
  • 更新时间: 2009-03-04
  • 厂        商: microsoft
  • 漏洞来源: Michal Zalewski l...

漏洞简介

Microsoft XML Core Services(MSXML)允许使用jscript、VBScript和Visual Studio 6.0的用户开发基于XML的应用,以与其他遵循XML 1.0标准的应用程序交互操作。Microsoft XML Core Services解析XML内容的方式中存在一个竞争条件错误。如果用户浏览的网页或HTML电子邮件包含有大量嵌套标签(10到1000个),则在IFRAME中显示时Javascript定时器会反复中断渲染进程,强制帧大约每50到100毫秒重载一次。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据,或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:

http://www.microsoft.com/technet/security/bulletin/ms08-069.mspx?pf=true

参考网址

来源: US-CERT

名称: TA08-316A

链接:http://www.us-cert.gov/cas/techalerts/TA08-316A.HTML

来源: BID

名称: 21872

链接:http://www.securityfocus.com/bid/21872

来源: MS

名称: MS08-069

链接:http://www.microsoft.com/technet/security/Bulletin/MS08-069.mspx

来源: VUPEN

名称: ADV-2008-3111

链接:http://www.frsirt.com/english/advisories/2008/3111

来源: BUGTRAQ

名称: 20070104 Re: RE: [Full-disclosure] Concurrency strikes MSIE (potentially exploitablemsxml3 flaws)

链接:http://www.securityfocus.com/archive/1/archive/1/456343/100/0/threaded

来源: BUGTRAQ

名称: 20070104 RE: [Full-disclosure] Concurrency strikes MSIE (potentially exploitablemsxml3 flaws)

链接:http://www.securityfocus.com/archive/1/archive/1/455986/100/0/threaded

来源: BUGTRAQ

名称: 20070104 Concurrency strikes MSIE (potentially exploitable msxml3 flaws)

链接:http://www.securityfocus.com/archive/1/archive/1/455965/100/0/threaded

来源: SECTRACK

名称: 1021164

链接:http://securitytracker.com/id?1021164

来源: SECUNIA

名称: 23655

链接:http://secunia.com/advisories/23655

来源: FULLDISC

名称: 20070104 Concurrency strikes MSIE (potentially exploitable msxml3 flaws)

链接:http://seclists.org/fulldisclosure/2007/Jan/0110.HTML

来源: OVAL

名称: oval:org.mitre.oval:def:5793

链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:5793

来源: OSVDB

名称: 32627

链接:http://osvdb.org/32627

来源: MISC

链接:http://isc.sans.org/diary.php?storyid=2004

来源: FULLDISC

名称: 20070104 Re: Concurrency strikes MSIE (potentially exploitablemsxml3 flaws)

链接:http://archives.neohapsis.com/archives/fulldisclosure/2007-01/0113.HTML

受影响实体

  • Microsoft Xml_core_services:3.0  

补丁

    暂无

weinxin
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
咨询加Q:999999999
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 安全领域涉猎者-乌云独行地带
获取本源码
售前咨询加Q:120433200
站媒体网仿《知更鸟》模板
获取本源码 zmt6.com
评论:0   参与:  0