发布日期：2014-02-11
更新日期：2014-02-12

受影响系统：

Microsoft Windows Windows Server 2012
Microsoft Windows Vista
Microsoft Windows Server 2008 R2
Microsoft Windows Server 2008
Microsoft Windows Server 2003
Microsoft Windows RT
Microsoft Windows 8
Microsoft Windows 7

描述：

---

BUGTRAQ  ID: 65407
CVE(CAN) ID: CVE-2014-0266

Microsoft XML Core Services (MSXML)提供了一组服务，使用户可以使用JScript、VBScript和其它微软的开发工具开发基于XML的本机应用程序。

Microsoft XML Core Services在实现上存在安全漏洞，可使攻击者读取用户本地文件系统上的文件或者经过身份验证的Web域内容。当用户查看特制的Web内容时会通过IE触发MSXML，此时攻击者即可以利用此漏洞。

<*来源：FireEye, Inc.
  
  链接：http://secunia.com/advisories/56771/
        http://technet.microsoft.com/security/bulletin/MS14-005
*>

建议：

---

临时解决方法：

* 阻止在IE中使用MSXML 3.0二进制行为
  * 将互联网和本地网络安全区域设置为“高”以阻止ActiveX控件及活动脚本
  * 将IE配置为运行活动脚本之前提示或者直接禁用

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS14-005）以及相应补丁:
MS14-005：Vulnerability in Microsoft XML Core Services Could Allow Information Disclosure (2916036)
链接：http://technet.microsoft.com/security/bulletin/MS14-005

浏览次数：2049
严重程度：0（网友投票）