漏洞起因
设计错误
危险等级
高
影响系统
Microsoft Office 2003 Professional Edition
Microsoft Office 2003 Small Business Edition
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office 2007
Microsoft XML Core Services (MSXML) 3.x
Microsoft XML Core Services (MSXML) 4.x
Microsoft XML Core Services (MSXML) 5.x
Microsoft XML Core Services (MSXML) 6.x
不受影响系统
Microsoft Office 2010 (32-bit editions)
Microsoft Office 2010 Service Pack 1 (32-bit editions)
Microsoft Office 2010 (64-bit editions)
Microsoft Office 2010 Service Pack 1 (64-bit editions)
Microsoft Office Web Apps 2010
Microsoft Office Compatibility Pack Service Pack 2
Microsoft Office Compatibility Pack Service Pack 3
Microsoft Works 9
Microsoft Office 2008 for Mac
Microsoft Office for Mac 2011
危害
远程攻击者可以利用漏洞以应用程序上下文执行任意代码。
攻击所需条件
攻击者必须构建恶意WEB页,诱使用户解析。
漏洞信息
Microsoft XML Core Services(MSXML)允许使用JScript、VBScript和Visual Studio 6.0的用户开发基于XML的应用,以与其他遵循XML 1.0标准的应用程序交互操作。
Microsoft XML Core Services存在一个安全漏洞,允许恶意用户以应用程序上下文执行任意代码。
当尝试访问内存中未初始化对象时可触发内存破坏漏洞,攻击者可以构建恶意WEB页,诱使用户解析,以Internet Explorer应用程序上下文执行任意代码。
测试方法
临时解决方案:
-建议用户为Internet Explorer部署微软的EMET软件。
-配置Internet Explorer在运行活动脚本前进行提示或在Internet和本地Intranet安全域中禁用活动脚本。
厂商解决方案
用户可参考如下供应商提供的Microsoft Fix it解决方案修复此漏洞:
http://support.microsoft.com/kb/2719615
漏洞提供者
0-day
评论关闭。