|
受影响系统:
-----------------------------------------------------------------------
---------
Microsoft XML Core Services
不受影响的系统:
-----------------------------------------------------------------------
---------
漏洞内容:
-----------------------------------------------------------------------
---------
微软XML核心服务包含的XMLHTTP控件允许WEB页通过浏览器执行HTTP操作诸如
POST,PUT,和GET等操作来发送和接受数据。这个控件的安全设计本意是设计只能
通过WEB页控制从远程数据源请求数据。
这个缺陷存在于XMLHTTP控制IE安全区域重定向一个数据流从远程WEB站点返回数
据。攻击者可以精确的定位用户系统上的数据源。攻击者可以从用户系统返回任
何攻击者想知道的信息。
攻击者诱惑用户的站点在这个弱点下被他控制。但是不能通过HTTP mail来实现控
制。另外,攻击者必须知道他试图想得到文件的文件名和路径。最后,这个弱点
不能给攻击者任何的添加,更改和删除数据的能力。
解决方法:
1. 这个弱点只能经由WEB站点被利用。他不可能通过HTML mail 利用。
2. 攻击者必须知道他所要求知道文件的名字和路径。
3. 这个弱点不给攻击者任何的增加,修改和删除数据的能力。
安全等级:
攻击实例:
-----------------------------------------------------------------------
---------
解决方案:
-----------------------------------------------------------------------
---------
补丁地址:
http://www.microsoft.com/technet/security/bulletin/ms02-008.asp
|