Microsoft XML Core Services信息泄露漏洞(CVE-2014-0266)(MS14-005)

BUGTRAQ ID: 65407
CVE(CAN) ID: CVE-2014-0266

Microsoft XML Core Services (MSXML)提供了一组服务，使用户可以使用JScript、VBScript和其它微软的开发工具开发基于XML的本机应用程序。

Microsoft XML Core Services在实现上存在安全漏洞，可使攻击者读取用户本地文件系统上的文件或者经过身份验证的Web域内容。当用户查看特制的Web内容时会通过IE触发MSXML，此时攻击者即可以利用此漏洞。
0
Microsoft Windows Windows Server 2012
Microsoft Windows Vista
Microsoft Windows Server 2008 R2
Microsoft Windows Server 2008
Microsoft Windows Server 2003
Microsoft Windows RT
Microsoft Windows 8
Microsoft Windows 7
临时解决方法：

• 阻止在IE中使用MSXML 3.0二进制行为
  • 将互联网和本地网络安全区域设置为“高”以阻止ActiveX控件及活动脚本
  • 将IE配置为运行活动脚本之前提示或者直接禁用

厂商补丁：

Microsoft

Microsoft已经为此发布了一个安全公告（MS14-005）以及相应补丁:
MS14-005：Vulnerability in Microsoft XML Core Services Could Allow Information Disclosure (2916036)
链接：http://technet.microsoft.com/security/bulletin/MS14-005