취약성 정보 - Microsoft XML Core Services Multiple Remote Vulnerabilities (MS08-069)

Microsoft XML Core Services Multiple Remote Vulnerabilities (MS08-069)

sH4

2008.11.12 12:49:20

947

Title : Microsoft XML Core Services Multiple Remote Vulnerabilities (MS08-069)
Advisory ID : FrSIRT/ADV-2008-3111
CVE ID : CVE-2007-0099 - CVE-2008-4029 - CVE-2008-4033
CWE ID : CWE-270 - CWE-399
Rated as : Critical

Remotely Exploitable : Yes
Locally Exploitable : Yes
Release Date : 2008-11-11

세부설명
==========
Microsoft XML Core Services(MSXML)에서 원격의 공격자에 의해 중요한 정보가 노출되거나 영향받는 시스템이 제어될 수
있는 다양한 취약점이 발견되었다.

첫번째 문제는 기혀의 XML 컨텐츠를 파싱할 때 메모리 오염 에러가 발생하기 때문이다. 이것은 공격자가 사용자를
악성 웹 페이지에 접속하도록 속여 임의의 코드를 실행 시킬 수 있다.

두번째 확장 문서 타입 정의(DTDs)를 위해 에러체크하는 MSXML 관리에서 존재한다. 이것은 악의적인 웹사이트에
cross-domain 스크립팅 공격이 가능하고 IE의 다른 도메인으로부터 데이터를 읽을 수 있다.

세번재 문제는 MSXML handles transfer-encoding headers 에서 에러가 발생하기 때문이다. 이것은 악의적인 웹사이트에
cross-domain 스크립팅 공격이 가능하고 IE의 다른 도메인으로부터 데이터를 읽을 수 있다.

해결책
==========
Apply patches :
http://www.microsoft.com/technet/security/Bulletin/ms08-069.mspx

레퍼런스
==========
http://www.frsirt.com/english/advisories/2008/3111
http://www.microsoft.com/technet/security/Bulletin/ms08-069.mspx

영향받는 버전
==========
Microsoft XML Core Services 3.0
Microsoft XML Core Services 4.0
Microsoft XML Core Services 5.0
Microsoft XML Core Services 6.0

Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Service Pack 3
Microsoft Windows XP Professional x64 Edition
Microsoft Windows XP Professional x64 Edition Service Pack 2
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 Service Pack 2
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows Server 2003 x64 Edition Service Pack 2
Microsoft Windows Server 2003 SP1 (Itanium)
Microsoft Windows Server 2003 SP2 (Itanium)
Microsoft Windows Vista
Microsoft Windows Vista Service Pack 1
Microsoft Windows Vista x64 Edition
Microsoft Windows Vista x64 Edition Service Pack 1
Microsoft Windows Server 2008 (32-bit)
Microsoft Windows Server 2008 (x64)
Microsoft Windows Server 2008 (Itanium)

Microsoft Office 2003 Service Pack 3
Microsoft Word Viewer 2003 Service Pack 3
2007 Microsoft Office System
2007 Microsoft Office System Service Pack 1
Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats
Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats Service Pack 1
Microsoft Expression Web
Microsoft Expression Web 2
Microsoft Office SharePoint Server 2007 (32-bit editions)
Microsoft Office SharePoint Server 2007 Service Pack 1 (32-bit editions)
Microsoft Office SharePoint Server 2007 (64-bit editions)
Microsoft Office SharePoint Server 2007 Service Pack 1 (64-bit editions)
Microsoft Office Groove Server 2007

이 게시물을..

와우해커(WOWHACKER) 시누싱입니다.