| タイトル | Microsoft XML DOM ActiveX コントロールに情報漏えいの脆弱性 |
|---|---|
| 概要 | Microsoft が提供する XML DOM ActiveX コントロールには、情報漏えいの脆弱性が存在します。 Microsoft が提供する XML DOM ActiveX コントロールには、エラーコードからユーザの PC に関する情報が漏えいする脆弱性が存在します。 JVNVU#96727848 を使用した攻撃コードにおいて、本脆弱性が使用されています。 JVNVU#96727848 http://jvn.jp/vu/JVNVU96727848//index.html |
| 想定される影響 | 細工された HTML ドキュメントを閲覧することで、ユーザの PC に関する情報 (特定のファイルの存在など) が漏えいする可能性があります。 |
| 対策 | 2014年2月18日現在、対策方法は不明です。 |
| 公表日 | 2014年2月17日0:00 |
| 登録日 | 2014年2月19日15:31 |
| 最終更新日 | 2014年9月11日14:06 |
| CVSS2.0 : 警告 | |
| スコア | 5.8 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:P/I:N/A:P |
| マイクロソフト |
| Microsoft Internet Explorer 10 |
| Microsoft Internet Explorer 11 |
| Microsoft Internet Explorer 6 |
| Microsoft Internet Explorer 7 |
| Microsoft Internet Explorer 8 |
| Microsoft Internet Explorer 9 |
| Microsoft Windows 8.1 |
| Microsoft XML DOM ActiveX コントロール |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2014年02月19日] 掲載 [2014年02月27日] 影響を受けるシステム:内容を更新 ベンダ情報:マイクロソフト (A Beginner's Guide to the XML DOM) を追加 共通脆弱性識別子(CVE):CVE-ID を追加 CWE による脆弱性タイプ一覧:CWE-ID を追加 参考情報:US-CERT Vulnerability Note (VU#732479) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2013-7331) を追加 参考情報:関連文書 (Microsoft XMLDOM in IE can divulge information of local drive/network in error messages - XXE) を追加 参考情報:関連文書 (Operation SnowMan: DeputyDog Actor Compromises US Veterans of Foreign Wars Website) を追加 [2014年09月11日] CVSS による深刻度:内容を更新 ベンダ情報:マイクロソフト (MS14-052) を追加 ベンダ情報:マイクロソフト (Assessing risk for the September 2014 security updates) を追加 参考情報:IPA 重要なセキュリティ情報 (Microsoft 製品の脆弱性対策について(2014年9月)) を追加 参考情報:JPCERT 注意喚起 (JPCERT-AT-2014-0034) を追加 参考情報:警察庁 @police (マイクロソフト社のセキュリティ修正プログラムについて(MS14-052,053,054,055)(2014年9月10日)) を追加 |
2018年2月17日10:37 |
| 概要 | The Microsoft.XMLDOM ActiveX control in Microsoft Windows 8.1 and earlier allows remote attackers to determine the existence of local pathnames, UNC share pathnames, intranet hostnames, and intranet IP addresses by examining error codes, as demonstrated by a res:// URL, and exploited in the wild in February 2014. |
|---|---|
| 概要 | El control ActiveX Microsoft.XMLDOM en Microsoft Windows 8.1 y anteriores permite a atacantes remotos determinar la existencia de nombres de rutas locales, nombres de rutas compartidas UNC, nombres de host de intranet y direcciones IP de intranet mediante el exámen de códigos erróneos, tal y como se demostró por medio de una URL res:// y explotado activamente en febrero 2014. |
| 公表日 | 2014年2月26日23:55 |
| 登録日 | 2021年1月26日15:49 |
| 最終更新日 | 2026年4月22日22:56 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:microsoft:internet_explorer:6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:internet_explorer:7:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:internet_explorer:8:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:internet_explorer:9:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:internet_explorer:10:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:internet_explorer:11:*:*:*:*:*:*:* | |||||
| 構成2 | 以上 | 以下 | より上 | 未満 | |