Microsoft XP帮助支持中心远程删除任意文件漏洞(MS02-060)

漏洞信息详情

Microsoft XP帮助支持中心远程删除任意文件漏洞(MS02-060)

• CNNVD编号：CNNVD-200209-065
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0974
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-08-14
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-11-30
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Shane Hird※ shird@…

Microsoft XP帮助支持中心(Help and Support Center)是一款统一的帮助和支持服务中心，可把所有的支持服务，如远程协助、自动更新、联机帮助以及其他工具等集中在一个地方。

Microsoft XP帮助支持中心的uplddrvinfo.htm脚本对文件删除操作缺少正确访问控制，远程攻击者可以利用这个漏洞删除系统任意文件。

临时解决方法：

如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 删除uplddrvinfo.htm文件。

* 编辑文件删除有问题代码。

* 不注册HCP协议句柄。

厂商补丁：

Microsoft

———

Microsoft已经为此发布了一个安全公告(MS02-060)以及相应补丁:

MS02-060：Flaw in Windows XP Help and Support Center Could Enable File Deletion (Q328940)

链接：
http://www.microsoft.com/technet/security/bulletin/MS02-060.asp” target=”_blank”>

http://www.microsoft.com/technet/security/bulletin/MS02-060.asp

来源: BUGTRAQ

名称: 20020815 Delete arbitrary files using Help and Support Center [MSRC 1198dg]

链接:http://marc.theaimsgroup.com/?l=bugtraq&m=102942549832077&w=2

来源: XF

名称: winxp-helpctr-delete-files(9878)

链接:http://www.iss.net/security_center/static/9878.php

来源: MSKB

名称: Q328940

链接:http://support.microsoft.com/default.aspx?scid=kb;%5BLN%5D;Q328940

来源: BID

名称: 5478

链接:http://www.securityfocus.com/bid/5478

来源: OSVDB

名称: 3001

链接:http://www.osvdb.org/3001

来源: MS

名称: MS02-060

链接:http://www.microsoft.com/technet/security/bulletin/ms02-060.asp