Выполнение произвольного кода в Microsoft XMLHTTP ActiveX компоненте

Дата публикации:
06.11.2006
Дата изменения:
24.03.2009
Всего просмотров:
5314
Опасность:
Критическая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Microsoft Windows 2000 Professional
Microsoft Windows XP Home Edition
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows XP Professional
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows 2000 Datacenter Server
Microsoft XML Core Services (MSXML) 4.x
Microsoft XML Core Services (MSXML) 6.x
Уязвимые версии: Microsoft Core XML Services (MSXML) 4.0

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за некорректной обработки HTTP запроса в функции setRequestHeader() в XMLHTTP 4.0 ActiveX компоненте. Удаленный пользователь может с помощью специально сформированной Web страницы выполнить произвольный код на целевой системе.

Примечание: уязвимость активно эксплуатируется в настоящее время.

URL производителя: www.microsoft.com

Решение: Установите последнюю версию с сайта производителя. В качестве временного решения производитель рекомендует установить kill-bit на уязвимый ActiveX компонент.

Журнал изменений:
24.03.2009
Изменена секция "Решение"

Ссылки: Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution (927892)
MS Internet Explorer 6/7 (XML Core Services) Remote Code Exec Exploit

или введите имя

CAPTCHA