BUGTRAQ ID: 42300
CVE ID: CVE-2010-2561
Microsoft XML Core Services(MSXML)允许使用JScript、VBScript和Visual Studio 6.0的用户开发基于XML的应用,以与其他遵循XML 1.0标准的应用程序交互操作。
MSXML没有正确地处理使用Msxml2.XMLHTTP.3.0 ActiveX对象所提交的XMLHttp请求的无效HTTP响应,如果用户浏览了包含有特制内容的网站或打开了特制的HTML邮件,就可能触发内存破坏,导致远程执行代码。
Microsoft XML Core Services 3.0
临时解决方法:
如果要对CLSID值{F5078F35-C551-11D3-89B9-0000F81FE221}设置kill bit,在文本编辑器(如写字板)中粘贴以下文本然后使用.reg文件名扩展保存文件。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility{F5078F35-C551-11D3-89B9-0000F81FE221}]
"Compatibility Flags"=dword:00000400
通过双击将这个.reg文件应用到单个系统。
将Internet Explorer配置为在Internet和本地Intranet安全区域中运行ActiveX控件和活动脚本之前进行提示。
将Internet 和本地Intranet安全区域设置设为“高”,以便在这些区域中运行ActiveX控件和活动脚本之前进行提示。
厂商补丁:
Microsoft已经为此发布了一个安全公告(MS10-051)以及相应补丁:
MS10-051:Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution (2079403)
链接:http://www.microsoft.com/technet/security/bulletin/MS10-051.mspx?pf=true