漏洞信息详情
Microsoft Vista侧栏RSS源小工具跨站脚本漏洞(MS07-048)
- CNNVD编号:CNNVD-200708-218
- 危害等级: 高危
- CVE编号: CVE-2007-3033
- 漏洞类型: 跨站脚本
- 发布时间: 2007-08-14
- 威胁类型: 远程
- 更新时间: 2007-08-15
- 厂 商: microsoft
- 漏洞来源: Joshua J. Drake
漏洞简介
Vista是微软发布的最新的操作系统。
Vista侧栏中的RSS源小工具中存在漏洞,远程攻击者可能利用此漏洞导致跨站脚本执行。
在解析RSS源中的某些单元时,可能会渲染单元中特制的HTML标签,导致注入Javascript脚本。由于RSS源小工具是在本地区域中运行的,因此所注入的脚本可以获得对系统的完全访问。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
Microsoft已经为此发布了一个安全公告(MS07-048)以及相应补丁:
MS07-048:Vulnerabilities in Windows Gadgets Could Allow Remote Code Execution (938123)
http://www.microsoft.com/technet/security/Bulletin/MS07-048.mspx?pf=true
补丁下载:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=49a5bd84-da71-4529-b4d3-ac57dab59e01
http://www.microsoft.com/downloads/details.aspx?FamilyId=24443f59-b908-480b-9b72-7094d4b5e128
临时解决方法:
* 卸载或禁用源标题小工具
* 在"组策略"或注册表中禁用侧栏
* 修改gadget.xml上的访问控制列表以增加限制:
1. 依次单击"开始"、"所有程序"、"附件",右键单击"命令提示符",选择"以管理员身份运行",然后单击"继续"。
2. 在命令提示符处键入以下命令:
cd %ProgramFiles%\Windows Sidebar\Gadgets\RSSFeeds.Gadget\en-US
3. 在命令提示符处键入以下命令。记下文件上的当前ACL(包括继承设置),以便将来撤消此修改时作为参考:
takeown /f gadget.xml
4. 在命令提示符处键入以下命令以调用源标题小工具的ACL。 记下文件上的当前ACL(包括继承设置),以便将来撤消此修改时作为参考:
cacls gadget.xml /deny Everyone:(R,RX)
5. 应用此临时解决方案后,必须注销系统或关闭sidebar.exe进程。
参考网址
来源: US-CERT
名称: TA07-226A
链接:http://www.us-cert.gov/cas/techalerts/TA07-226A.HTML
来源: US-CERT
名称: VU#558648
链接:http://www.kb.cert.org/vuls/id/558648
来源: BID
名称: 25287
链接:http://www.securityfocus.com/bid/25287
来源: MS
名称: MS07-048
链接:http://www.microsoft.com/technet/security/bulletin/ms07-048.mspx
来源: SECUNIA
名称: 26439
链接:http://secunia.com/advisories/26439
来源: SECTRACK
名称: 1018566
链接:http://www.securitytracker.com/id?1018566
来源: VUPEN
名称: ADV-2007-2872
链接:http://www.frsirt.com/english/advisories/2007/2872
来源: IDEFENSE
名称: 20070814 Microsoft Windows Vista Sidebar RSS Feeds Gadget Cross Site Scripting Vulnerability
链接:http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=575
来源: US Government Resource: oval:org.mitre.oval:def:2152
名称: oval:org.mitre.oval:def:2152
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:2152
受影响实体
- Microsoft Windows_vista
- Microsoft Windows_vista:X64
补丁
暂无
评论