製品・ソフトウェアに関する情報
Vulnerability Search
Microsoft XML DOM ActiveX コントロールに情報漏えいの脆弱性
Title Microsoft XML DOM ActiveX コントロールに情報漏えいの脆弱性
Summary

Microsoft が提供する XML DOM ActiveX コントロールには、情報漏えいの脆弱性が存在します。 Microsoft が提供する XML DOM ActiveX コントロールには、エラーコードからユーザの PC に関する情報が漏えいする脆弱性が存在します。 JVNVU#96727848 を使用した攻撃コードにおいて、本脆弱性が使用されています。 JVNVU#96727848 http://jvn.jp/vu/JVNVU96727848//index.html

Possible impacts 細工された HTML ドキュメントを閲覧することで、ユーザの PC に関する情報 (特定のファイルの存在など) が漏えいする可能性があります。
Solution

2014年2月18日現在、対策方法は不明です。
Publication Date Feb. 17, 2014, midnight
Registration Date Feb. 19, 2014, 3:31 p.m.
Last Update Sept. 11, 2014, 2:06 p.m.
CVSS2.0 : 警告
Score 5.8
Vector AV:N/AC:M/Au:N/C:P/I:N/A:P
Affected System
マイクロソフト
Microsoft Internet Explorer 10
Microsoft Internet Explorer 11
Microsoft Internet Explorer 6
Microsoft Internet Explorer 7
Microsoft Internet Explorer 8
Microsoft Internet Explorer 9
Microsoft Windows 8.1 
Microsoft XML DOM ActiveX コントロール 
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2014年02月19日]
  掲載
[2014年02月27日]
  影響を受けるシステム:内容を更新
  ベンダ情報:マイクロソフト (A Beginner's Guide to the XML DOM) を追加
  共通脆弱性識別子(CVE):CVE-ID を追加
  CWE による脆弱性タイプ一覧:CWE-ID を追加
  参考情報:US-CERT Vulnerability Note (VU#732479) を追加
  参考情報:National Vulnerability Database (NVD) (CVE-2013-7331) を追加
  参考情報:関連文書 (Microsoft XMLDOM in IE can divulge information of local drive/network in error messages - XXE) を追加
  参考情報:関連文書 (Operation SnowMan: DeputyDog Actor Compromises US Veterans of Foreign Wars Website) を追加
[2014年09月11日]
  CVSS による深刻度:内容を更新
  ベンダ情報:マイクロソフト (MS14-052) を追加
  ベンダ情報:マイクロソフト (Assessing risk for the September 2014 security updates) を追加
  参考情報:IPA 重要なセキュリティ情報 (Microsoft 製品の脆弱性対策について(2014年9月)) を追加
  参考情報:JPCERT 注意喚起  (JPCERT-AT-2014-0034) を追加  
  参考情報:警察庁 @police (マイクロソフト社のセキュリティ修正プログラムについて(MS14-052,053,054,055)(2014年9月10日)) を追加		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2013-7331
Summary

The Microsoft.XMLDOM ActiveX control in Microsoft Windows 8.1 and earlier allows remote attackers to determine the existence of local pathnames, UNC share pathnames, intranet hostnames, and intranet IP addresses by examining error codes, as demonstrated by a res:// URL, and exploited in the wild in February 2014.

Summary

El control ActiveX Microsoft.XMLDOM en Microsoft Windows 8.1 y anteriores permite a atacantes remotos determinar la existencia de nombres de rutas locales, nombres de rutas compartidas UNC, nombres de host de intranet y direcciones IP de intranet mediante el exámen de códigos erróneos, tal y como se demostró por medio de una URL res:// y explotado activamente en febrero 2014.

Publication Date Feb. 26, 2014, 11:55 p.m.
Registration Date Jan. 26, 2021, 3:49 p.m.
Last Update April 22, 2026, 10:56 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:microsoft:internet_explorer:6:*:*:*:*:*:*:*
cpe:2.3:a:microsoft:internet_explorer:7:*:*:*:*:*:*:*
cpe:2.3:a:microsoft:internet_explorer:8:*:*:*:*:*:*:*
cpe:2.3:a:microsoft:internet_explorer:9:*:*:*:*:*:*:*
cpe:2.3:a:microsoft:internet_explorer:10:*:*:*:*:*:*:*
cpe:2.3:a:microsoft:internet_explorer:11:*:*:*:*:*:*:*
Configuration2 or higher or less more than less than
Related information, measures and tools
Common Vulnerabilities List