微軟 XML Core Services 多個漏洞 (2008年11月12日)

1. MSXML 記憶體損毀漏洞

Microsoft XML Core Services 剖析 XML 內容的方式存在遠端執行程式碼漏洞。如果使用者瀏覽的網站包含蓄意製作的內容，或使用者開啟蓄意製作的 HTML 電子郵件，此漏洞將允許遠端執行程式碼。成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。

2. MSXML DTD 跨網域指令碼處理漏洞

Microsoft XML Core Services 處理外部文件類型定義 (DTD) 錯誤檢查的方式存在資訊洩漏漏洞。如果使用者瀏覽的網站包含蓄意製作的內容，或使用者開啟蓄意製作的 HTML 電子郵件，此漏洞將洩漏資訊。 成功利用這項漏洞的攻擊者可以從其他 Internet Explorer 網域的網頁來讀取資料。 但是，攻擊者無法強迫使用者造訪網站。

3. MSXML 標頭要求漏洞

Microsoft XML Core Services 處理轉移編碼標頭的方式存在資訊洩漏的漏洞。如果使用者瀏覽的網站包含蓄意製作的內容，或使用者開啟蓄意製作的 HTML 電子郵件，此漏洞將洩漏資訊。成功利用這項漏洞的攻擊者可以從其他 Internet Explorer 網域的網頁來讀取資料。 但是，攻擊者無法強迫使用者造訪網站。