CVE編號 | CVE-2014-4118 |
---|---|
影響產品 | 對於受影響版本的 Microsoft Windows 用戶端而言,此 Microsoft XML Core Services 3.0 的資訊安全更新的等級為「重大」; 對於受影響版本的 Microsoft Windows 伺服器而言,等級則為「重要」。 |
解決辦法 | 大部分客戶都已啟用自動更新,並且不必須採取任何行動,因為資訊安全更新將自動下載和安裝。對於沒有啟用自動更新的客戶,可採取開啟或關閉自動更新中的步驟來啟用自動更新。 |
張貼日 | 2014-11-11 |
上稿單位 | TWCERT/CC |
這個安全性更新可解決 Microsoft Windows 中一項未公開報告的弱點。如果登入的使用者造訪蓄意製作之網站,且該網站係透過 Internet Explorer 叫用 Microsoft XML Core Services (MSXML) (英文),則此資訊安全風險可能會允許遠端執行程式碼。但是,攻擊者無法強迫使用者造訪這類網站,而是引誘使用者自行前往。一般的做法是設法讓使用者按一下電子郵件訊息或 Instant Messenger 要求中通往攻擊者網站的連結。此資訊安全更新會修改 Microsoft XML Core Services 剖析 XML 內容的方式,以解決資訊安全風險。