受影响系统: Microsoft XML Core Services
漏洞内容: 微软XML核心服务包含的XMLHTTP控件允许WEB页通过浏览器执行HTTP操作诸如POST,PUT和GET等操作来发送和接受数据。这个控件的
安全设计本意是
设计只能通过WEB页控制从远程数据源请求数据。
这个缺陷存在于XMLHTTP控制IE安全区域重定向一个数据流从远程WEB站点返回数据。攻击者可以精确的定位用户系统上的数据源。攻击者可以从用户系统返回任何攻击者想知道的信息。
攻击者诱惑用户的站点在这个弱点下被他控制。但是不能通过HTTP mail来实现控制。另外,攻击者必须知道他试图想得到文件的文件名和路径。最后,这个弱点不能给攻击者任何的添加,更改和删除数据的能力。
解决方法:
1.这个弱点只能经由WEB站点被利用。他不可能通过HTML mail 利用。
2.攻击者必须知道他所要求知道文件的名字和路径。
3.这个弱点不给攻击者任何的增加,修改和删除数据的能力。
