Microsoft XML Core Services无效HTTP响应处理内存破坏漏洞（MS10-051）

BUGTRAQ ID: 42300
CVE ID: CVE-2010-2561

Microsoft XML Core Services（MSXML）允许使用JScript、VBScript和Visual Studio 6.0的用户开发基于XML的应用，以与其他遵循XML 1.0标准的应用程序交互操作。

MSXML没有正确地处理使用Msxml2.XMLHTTP.3.0 ActiveX对象所提交的XMLHttp请求的无效HTTP响应，如果用户浏览了包含有特制内容的网站或打开了特制的HTML邮件，就可能触发内存破坏，导致远程执行代码。

Microsoft XML Core Services 3.0
临时解决方法：

• 禁止在Internet Explorer中运行COM对象。

如果要对CLSID值{F5078F35-C551-11D3-89B9-0000F81FE221}设置kill bit，在文本编辑器（如写字板）中粘贴以下文本然后使用.reg文件名扩展保存文件。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility{F5078F35-C551-11D3-89B9-0000F81FE221}]
"Compatibility Flags"=dword:00000400

通过双击将这个.reg文件应用到单个系统。

• 将Internet Explorer配置为在Internet和本地Intranet安全区域中运行ActiveX控件和活动脚本之前进行提示。

• 将Internet 和本地Intranet安全区域设置设为“高”，以便在这些区域中运行ActiveX控件和活动脚本之前进行提示。

厂商补丁：

Microsoft

Microsoft已经为此发布了一个安全公告（MS10-051）以及相应补丁:
MS10-051：Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution (2079403)
链接：http://www.microsoft.com/technet/security/bulletin/MS10-051.mspx?pf=true