Уязвимость утечки информации в Microsoft XML Core Services (MSXML), возникающая из-за некорректной обработки объектов в памяти
Описание
Успешная эксплуатация уязвимости способна позволить злоумышленнику проверять наличие файлов на диске.
Условия эксплуатации
Чтобы эксплуатировать уязвимость, злоумышленник может разместить специальный веб-сайт, созданный для вызова MSXML через Internet Explorer. Однако злоумышленник не имеет возможности заставить пользователя посетить такой веб-сайт. Вместо этого злоумышленнику обычно необходимо убедить пользователя щелкнуть ссылку в электронном письме или в запросе мгновенного сообщения, что приведет пользователя на этот веб-сайт.
Решение
Обновление безопасности устраняет уязвимость, изменяя способ обработки объектов в памяти MSXML.
Дополнительная информация
Некоторые версии MSXML включены в Microsoft Windows; другие устанавливаются с программным обеспечением, не относящимся к операционной системе от Microsoft или сторонних поставщиков. Некоторые версии также доступны для отдельной загрузки. Следующая таблица показывает, какие версии MSXML включены в Windows, а какие устанавливаются с программным обеспечением Microsoft или сторонних разработчиков.
| Операционная система | MSXML 3.0 |
|---|---|
| Windows Vista | Включена с операционной системой |
| Windows Server 2008 | Включена с операционной системой |
| Windows 7 | Включена с операционной системой |
| Windows Server 2008 R2 | Включена с операционной системой |
| Windows 8.1 | Включена с операционной системой |
| Windows Server 2012 и Windows Server 2012 R2 | Включена с операционной системой |
| Windows 10 (все релизы) | Включена с операционной системой |
| Windows Server 2016 | Включена с операционной системой |
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) | ||
| Windows Server 2012 | ||
| Windows Server 2012 (Server Core installation) | ||
| Windows 8.1 for 32-bit systems | ||
| Windows 8.1 for x64-based systems | ||
| Windows Server 2012 R2 | ||
| Windows Server 2012 R2 (Server Core installation) | ||
| Microsoft XML Core Services 3.0 on Windows Server 2012 R2 | ||
| Microsoft XML Core Services 3.0 on Windows Server 2012 R2 (Server Core installation) | ||
| Microsoft XML Core Services 3.0 on Windows 8.1 for 32-bit systems |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
4.3 Medium
CVSS3
Связанные уязвимости
Microsoft XML Core Services (MSXML) in Windows 10 Gold, 1511, and 1607; Windows 7 SP1; Windows 8.1; Windows RT 8.1; Windows Server 2008 SP2 and R2 SP1; Windows Server 2012 Gold and R2; Windows Server 2016; and Windows Vista SP2 improperly handles objects in memory, allowing attackers to test for files on disk via a crafted web site, aka "Microsoft XML Information Disclosure Vulnerability."
Microsoft XML Core Services (MSXML) in Windows 10 Gold, 1511, and 1607; Windows 7 SP1; Windows 8.1; Windows RT 8.1; Windows Server 2008 SP2 and R2 SP1; Windows Server 2012 Gold and R2; Windows Server 2016; and Windows Vista SP2 improperly handles objects in memory, allowing attackers to test for files on disk via a crafted web site, aka "Microsoft XML Information Disclosure Vulnerability."
Уязвимость операционной системы Windows, позволяющая нарушителю проверить файлы на диске
EPSS
4.3 Medium
CVSS3