Microsoft XML核心服务XMLHTTP控件内存破坏漏洞(MS06-071)

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

Microsoft XML核心服务(MSXML)允许使用JScript、VBScript和Microsoft Visual Studio 6.0的用户构建可与其他符合XML 1.0标准的应用程序相互操作的XML应用。 在Microsoft XML Core Services的XMLHTTP 4.0 ActiveX控件中,setRequestHeader()函数没有正确地处理HTTP请求,允许攻击者诱骗用户访问恶意的站点导致执行任意指令。攻击者可以通过构建特制网页来利用此漏洞,如果用户访问该网页或单击电子邮件中的链接,该漏洞就可能允许远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。不过,要利用此漏洞,需要进行用户交互。 Microsoft XML Core Services 6.0 Microsoft XML Core Services 4.0 * 禁止在Internet Explorer中运行XMLHTTP 4.0 ActiveX控件。将以下内容粘贴到文本编辑器,然后使用.reg文件名扩展保存: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{88d969c5-f192-11d4-a65f-0040963251e5}] "Compatibility Flags"=dword:00000400 双击这个.reg文件应用到系统。 * 配置Internet Explorer在运行活动脚本之前要求提示,或在Internet和本地intranet区中禁用活动脚本。 * 将Internet和本地intranet安全区设置为“高”。 * 拒绝对注册表中Microsoft XML Core Services 4.0 ({88D969C5-F192-11D4-A65F-0040963251E5})和Microsoft XML Core Services 6.0 ({88D96A0A-F192-11D4-A65F-0040963251E5})的受影响的CLSID进行访问。 厂商补丁: Microsoft ---------...

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息