Microsoft XML Core Services竞争条件内存破坏漏洞 CVE-2007-0099 CNNVD-200701-063

9.3 AV AC AU C I A
发布: 2007-01-08
修订: 2018-10-16

Microsoft XML Core Services(MSXML)允许使用JScript、VBScript和Visual Studio 6.0的用户开发基于XML的应用,以与其他遵循XML 1.0标准的应用程序交互操作。Microsoft XML Core Services解析XML内容的方式中存在一个竞争条件错误。如果用户浏览的网页或HTML电子邮件包含有大量嵌套标签(10到1000个),则在IFRAME中显示时JavaScript定时器会反复中断渲染进程,强制帧大约每50到100毫秒重载一次。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据,或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有2条受影响产品信息