В сети активно эксплуатируется уязвимость 2001 года

[Shu_b]

В сети активно эксплуатируется уязвимость 2001 года
09 ноября, 2006

Уязвимость в компоненте Microsoft XML Core Services, впервые обнаруженная в декабре 2001 года, активно используется в Сети, предупредило бюро US-CERT Департамента внутренней безопасности США (Department of Homeland Security). Microsoft также предупредила об опасности.

CVE-2002-0057
Published: 08-03-2002
Updated: 02-05-2005

Product:
Microsoft: Windows XP Home
Microsoft: Windows XP Professional
Microsoft: SQL Server 2000

Severity: Low (3.3)
CVSS vector: (AV:R/AC:L/Au:NR/C:C/I:N/A:N/B:N) Approximated
Vulnerability type: Design error
Attack`s vector: Remotly exploitable
Potential loss type: Confidentiality

Vulnerability description:
XMLHTTP control in Microsoft XML Core Services 2.6 and later does not properly handle IE Security Zone settings, which allows remote attackers to read arbitrary files by specifying a local file as an XML Data Source.

Patch available: Yes

References:
Neohapsis: http://archives.neohapsis.com/archiv...1-12/0152.html
The Aims Group: http://marc.theaimsgroup.com/?l=bugt...6383408821&w=2
Microsoft: http://www.microsoft.com/technet/sec...n/ms02-008.asp
Security Focus: http://online.securityfocus.com/bid/3699

Результатом эксплуатации уязвимости может стать выполнение произвольного кода на целевом компьютере. Хотя ошибка кроется не в Windows, а в одном из бесплатных компонентов, предлагаемых Microsoft разработчикам веб-сайтов, ряд компаний ИТ-безопасности присвоили ей уровень «экстремальной критичности».

COM-объект XMLHTTP позволяет запрашивать и получать с сайта данные в формате XML через протокол HTTP. Архитектура Internet Explorer 6 снова сделала реальной возможность эксплуатации старой уязвимости, с использованием встроенных языков сценариев – JavaScript и относительно редко используемого VBScript.

Компонент был создан для облегчения использования XML-объектов на сайтах, однако пять лет назад некоторые угрозы еще не предполагались. Позднее Microsoft выпустила Service Pack 2 для XML Core Services, а также ряд заплаток, в том числе одну из них – три недели назад, но, похоже, это не помогло, либо хакеры модифицировали средства эксплуатации уязвимости.

securitylab.ru

[Ego1st]

Ничего удивительного, заплатки не ставит никто, вот и эксплуатируется..

[orvman]

хакеры модифицировали средства эксплуатации уязвимости.

5 баллов! пацталом - securitylab.ru