• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Междоменный скриптинг в MSXML DTD

Главная Специалистам База уязвимостей Междоменный скриптинг в MSXML DTD

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:N/A:N)
Производитель ПО
Наименование ПО
Microsoft XML Core Services (3.0, 4.0) Microsoft Updates (KB2079403, KB2719985, KB2721691, KB2757638, KB2758694, KB2916036, KB2919355, KB2939576, KB2966631, KB2993958, KB3000850, KB3046482, KB3076895, KB3092627, KB954430, KB955069, SP1, SP2)
Описание
Разглашение данных возможно из-за того, как Microsoft XML Core Services обрабатывает проверку ошибок для DTD внешнего документа. Эта уязвимость эксплуатируется, если пользователь просматривает веб-страницу, которая содержит специально сформированное содержимое, или если пользователь открывает специально сформированное сообщение электронной почты с HTML-кодом. В случае успешной эксплуатации злоумышленник может читать данные в Internet Explorer со страницы, которая находится в другом домене.
Как исправить
Используйте рекомендации производителя:
http://www.microsoft.com/technet/security/Bulletin/MS08-069.mspx
Междоменное разглашение данных Уязвимость, связанная с заголовками запросов в MSXML