Microsoft XML Core Services远程代码执行漏洞(CVE-2014-4118)(MS14-067)
发布日期:2014-11-11
更新日期:2014-11-13
受影响系统:Microsoft XML Core Services 3.0
描述:
BUGTRAQ ID:
70957
CVE(CAN) ID:
CVE-2014-4118
Microsoft XML Core Services (MSXML)是一组服务,可用JScript、VBScript、Microsoft开发工具编写的应用构建基于XML的Windows-native应用。
Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2/R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold/R2, Windows RT Gold/8.1版本中,XML Core Services (MSXML) 3.0没有正确解析XML内容,在实现上存在MSXML远程代码执行漏洞,远程攻击者通过构造的XML内容,利用此漏洞可执行任意代码或造成拒绝服务(系统状态破坏)。
<*来源:Alisa Esage Shevchenko
链接:
http://secunia.com/advisories/59805/
http://technet.microsoft.com/security/bulletin/MS14-067
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 在Internet Explorer中禁止MSXML 3.0的二进制行为。
厂商补丁:
Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS14-067)以及相应补丁:
MS14-067:Critical Vulnerability in XML Core Services Could Allow Remote Code Execution
链接:
http://technet.microsoft.com/security/bulletin/MS14-067浏览次数:1914
严重程度:0(网友投票)
