CERTA-2002-AVI-041
Vulnerability from certfr_avis - Published: - Updated:
Un utilisateur mal intentionné peut accéder en lecture aux données locales du système affecté.
Description
Microsoft XML Core Services (MSXML) contient un contrôle ActiveX appelé XMLHTTP permettant de recevoir ou d'envoyer dans un navigateur des données XML par HTTP en utilisant des opérations telles que GET, PUT et POST.
Le contrôle ActiveX XMLHTTP ne respecte pas la gestion des zones de sécurité specifiée dans Internet Explorer.
Cette faille peut etre exploitée par un utilisateur mal intentionné afin d'accéder en lecture aux données locales du disque.
Solution
Se référer au bulletin de sécurité Microsoft MS02-008 (cf. Section « patch availability ») pour obtenir la liste des correctifs disponibles.
- Microsoft XML Core Services versions 2.6, 3.0 et 4.0.
- Les produits Microsoft utilisant ce service :
- Microsoft Windows XP;
- Microsoft Internet Explorer 6.0;
- Microsoft SQL Server 2000.
Impacted products
| Vendor | Product | Description |
|---|
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cUL\u003e \u003cLI\u003eMicrosoft XML Core Services versions 2.6, 3.0 et 4.0.\u003c/LI\u003e \u003cLI\u003eLes produits Microsoft utilisant ce service : \u003cUL\u003e \u003cLI\u003eMicrosoft Windows XP;\u003c/LI\u003e \u003cLI\u003eMicrosoft Internet Explorer 6.0;\u003c/LI\u003e \u003cLI\u003eMicrosoft SQL Server 2000.\u003c/LI\u003e \u003c/UL\u003e \u003c/LI\u003e \u003c/UL\u003e",
"content": "## Description\n\nMicrosoft XML Core Services (MSXML) contient un contr\u00f4le ActiveX appel\u00e9\nXMLHTTP permettant de recevoir ou d\u0027envoyer dans un navigateur des\ndonn\u00e9es XML par HTTP en utilisant des op\u00e9rations telles que GET, PUT et\nPOST.\n\nLe contr\u00f4le ActiveX XMLHTTP ne respecte pas la gestion des zones de\ns\u00e9curit\u00e9 specifi\u00e9e dans Internet Explorer.\n\nCette faille peut etre exploit\u00e9e par un utilisateur mal intentionn\u00e9 afin\nd\u0027acc\u00e9der en lecture aux donn\u00e9es locales du disque.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 Microsoft MS02-008 (cf. Section \u00ab\npatch availability \u00bb) pour obtenir la liste des correctifs disponibles.\n",
"cves": [],
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 de Microsoft MS02-008 :",
"url": "http://www.microsoft.com/technet/security/bulletin/MS02-008.asp"
}
],
"reference": "CERTA-2002-AVI-041",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2002-02-22T00:00:00.000000"
}
],
"risks": [
{
"description": "Acc\u00e8s en lecture \u00e0 des fichiers locaux du syst\u00e8me"
}
],
"summary": "Un utilisateur mal intentionn\u00e9 peut acc\u00e9der en lecture aux donn\u00e9es\nlocales du syst\u00e8me affect\u00e9.\n",
"title": "Vuln\u00e9rabilit\u00e9 du contr\u00f4le ActiveX XMLHTTP",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS02-008",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…