Microsoft XML核心服务XMLHTTP控件内存破坏漏洞(MS06-071)

漏洞信息详情

Microsoft XML核心服务XMLHTTP控件内存破坏漏洞(MS06-071)

• CNNVD编号：CNNVD-200611-068
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2006-5745
  
• 漏洞类型：
  
  
  边界条件错误
  
• 发布时间：
  
  2006-11-06
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2008-12-15
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Microsoft

Microsoft XML核心服务(MSXML)允许使用JScript、VBScript和Microsoft Visual Studio 6.0的用户构建可与其他符合XML 1.0标准的应用程序相互操作的XML应用。

在Microsoft XML Core Services的XMLHTTP 4.0 ActiveX控件中，setRequestHeader()函数没有正确地处理HTTP请求，允许攻击者诱骗用户访问恶意的站点导致执行任意指令。攻击者可以通过构建特制网页来利用此漏洞，如果用户访问该网页或单击电子邮件中的链接，该漏洞就可能允许远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。不过，要利用此漏洞，需要进行用户交互。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.microsoft.com/technet/security/bulletin/ms06-071.mspx

来源: VU#585137

名称: VU#585137

链接:http://www.kb.cert.org/vuls/id/585137

来源: TA06-318A

名称: TA06-318A

链接:http://www.us-cert.gov/cas/techalerts/TA06-318A.html

来源: XF

名称: ie-xml-http-request-handling(30004)

链接:http://xforce.iss.net/xforce/xfdb/30004

来源: MISC

链接:http://xforce.iss.net/xforce/alerts/id/239

来源: BID

名称: 20915

链接:http://www.securityfocus.com/bid/20915

来源: MILW0RM

名称: 2743

链接:http://www.milw0rm.com/exploits/2743

来源: www.microsoft.com

链接:http://www.microsoft.com/technet/security/advisory/927892.mspx

来源: ISS

名称: 20061104 Vulnerability in Microsoft XML HTTP Request Handling

链接:http://www.iss.net/threats/239.html

来源: VUPEN

名称: ADV-2006-4334

链接:http://www.frsirt.com/english/advisories/2006/4334

来源: SECTRACK

名称: 1017157

链接:http://securitytracker.com/id?1017157

来源: SECUNIA

名称: 22687

链接:http://secunia.com/advisories/22687

来源: MISC

链接:http://blogs.securiteam.com/?p=717

来源: MS

名称: MS06-071

链接:http://www.microsoft.com/technet/security/bulletin/ms06-071.mspx

来源: oval:org.mitre.oval:def:104

名称: oval:org.mitre.oval:def:104

链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:104