Уязвимость утечки информации в Windows System Information Console из-за некорректной обработки XML-данных с внешними ссылками в Microsoft Common Console Document (.msc).
Описание
В Microsoft Common Console Document (.msc) существует уязвимость, связанная с раскрытием информации. Она возникает, когда неправильно обрабатываются XML-вводы, содержащие ссылку на внешнюю сущность. Злоумышленник, успешно использующий эту уязвимость, способен прочитать произвольные файлы с помощью объявления внешней XML-сущности (XXE).
Условия эксплуатации
Для эксплуатации уязвимости злоумышленнику необходимо создать файл со специально сформированным XML-содержимым и убедить авторизованного пользователя открыть этот файл.
Решение
Обновление устраняет уязвимость путем изменения способа обработки XML-ввода в Microsoft Common Console Document (.msc).
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows Server 2008 for Itanium-Based Systems Service Pack 2 | ||
| Windows Server 2008 for 32-bit Systems Service Pack 2 | ||
| Windows Server 2008 for x64-based Systems Service Pack 2 | ||
| Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) | ||
| Windows 7 for 32-bit Systems Service Pack 1 | ||
| Windows 7 for x64-based Systems Service Pack 1 | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) | ||
| Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 | ||
| Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
EPSS
4.4 Medium
CVSS3
Связанные уязвимости
The Microsoft Common Console Document (.msc) in Microsoft Windows 7 SP1, Windows Server 2008 SP2 and R2 SP1 allows an attacker to read arbitrary files via an XML external entity (XXE) declaration, due to the way that the Microsoft Common Console Document (.msc) parses XML input containing a reference to an external entity, aka "Windows Information Disclosure Vulnerability".
The Microsoft Common Console Document (.msc) in Microsoft Windows 7 SP1, Windows Server 2008 SP2 and R2 SP1 allows an attacker to read arbitrary files via an XML external entity (XXE) declaration, due to the way that the Microsoft Common Console Document (.msc) parses XML input containing a reference to an external entity, aka "Windows Information Disclosure Vulnerability".
EPSS
4.4 Medium
CVSS3