MSXML未初始化内存破坏漏洞 (MS12-043)

文章由LinuxBoy分享于2019-04-02 07:04:29热评（679）

发布日期：2012-07-10
更新日期：2012-07-10

受影响系统：
Microsoft Windows
描述：
--------------------------------------------------------------------------------
CVE ID: CVE-2012-1889

Microsoft XML核心服务（MSXML）允许使用JScript、VBScript和Microsoft Visual Studio 6.0的用户构建可与其他符合XML 1.0标准的应用程序相互操作的XML应用。

Microsoft XML Core Services 3.0、4.0、5.0、6.0在访问未初始化内存位置时存在安全漏洞，可允许远程攻击者通过特制的网站执行任意代码或造成拒绝服务。

<*来源：Microsoft

链接：http://technet.microsoft.com/zh-cn/security/advisory/2719615
*>

建议：
--------------------------------------------------------------------------------
临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 应用XML Core Services 5.0的Microsoft Fix it解决方案。

* 配置IE，在运行活动脚本时提示或禁用

* 在IE中阻止ActiveX控件

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（2719615）以及相应补丁:

2719615：Microsoft XML Core Services 中的漏洞可能允许远程执行代码

链接：http://technet.microsoft.com/zh-cn/security/advisory/2719615

推荐文章：