Microsoft XML 3.0 Core Services Vulnerability Patch para Windows

Name: Microsoft XML 3.0 Core Services Vulnerability Patch
Rating: 3.2 (9 reviews)
Author: Microsoft

Por Microsoft
Gratuito
Calificación del usuario

¿Has usado Microsoft XML 3.0 Core Services Vulnerability Patch para Windows?

Descripción del desarrollador

By Microsoft

Los administradores del sistema que utilizan Microsoft XML Core Services 2.6 y versiones posteriores deben descargar este parche.

Microsoft XML Core Services (MSXML) incluye el control ActiveX XMLHTTP, que permite a las páginas web que se renderizan en el navegador enviar o recibir datos XML a través de operaciones HTTP como POST, GET y PUT. El control proporciona medidas de seguridad diseñadas para restringir las páginas web de modo que solo puedan utilizar el control para solicitar datos de fuentes de datos remotas.

Existe un defecto en la forma en que el control XMLHTTP aplica la configuración de la zona de seguridad de IE a un flujo de datos redirigido devuelto en respuesta a una solicitud de datos de un sitio web. Se produce una vulnerabilidad porque un atacante podría intentar explotar este defecto y especificar una fuente de datos que esté en el sistema local del usuario. El atacante podría entonces usar esto para devolver información del sistema local al sitio web del atacante. Un atacante tendría que atraer al usuario a un sitio bajo su control para explotar esta vulnerabilidad. No se puede explotar mediante correo electrónico HTML. Además, el atacante tendría que conocer la ruta completa y el nombre del archivo de cualquier archivo que intentara leer. Finalmente, esta vulnerabilidad no le da a un atacante ninguna capacidad para agregar, cambiar o eliminar datos.