Artikel-ID: 317244 - Geändert am: Mittwoch, 30. Mai 2007 - Version: 12.0

MS02-008: XMLHTTP-Steuerelement in MSXML 4.0 kann Zugriff auf lokale Dateien zulassen

Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D317244
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
317244  (http://support.microsoft.com/kb/317244/EN-US/ ) MS02-008: XMLHTTP control in MSXML 4.0 can allow access to local files
Weitere Informationen über diese Sicherheitsanfälligkeit finden Sie in folgenden Artikeln der Microsoft Knowledge Base:
318203  (http://support.microsoft.com/kb/318203/DE/ ) MS02-008: XMLHTTP-Steuerelement in MSXML 3.0 kann Zugriff auf lokale Dateien zulassen
318202  (http://support.microsoft.com/kb/318202/DE/ ) MS02-008: XMLHTTP-Steuerelement in MSXML 2.6 kann Zugriff auf lokale Dateien zulassen
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Problembeschreibung

Es besteht ein Sicherheitsproblem, das es einem Angreifer ermöglichen könnte, Dateien auf dem lokalen Dateisystem eines Benutzers zu lesen, der eine speziell fehlerhaft formatierte Website besucht.

Der Angreifer wäre allerdings nicht in der Lage, Dateien hinzuzufügen, zu ändern oder zu löschen. Auch wäre es dem Angreifer nicht möglich, diesen Angriff per E-Mail auszuführen; diese Sicherheitsanfälligkeit kann nur über eine Website ausgenutzt werden. Kunden können das mit dieser Sicherheitsanfälligkeit verbundene Risiko reduzieren, indem sie beim Browsen im Internet Vorsicht walten lassen und keine unbekannten oder nicht vertrauenswürdigen Sites besuchen.
Zum Anfang

Ursache

Diese Sicherheitsanfälligkeit tritt auf, da das XMLHTTP-Steuerelement in den Microsoft XML Core Services die Einstellungen und Einschränkungen der Sicherheitszonen in Internet Explorer fehlerhaft interpretiert. Dadurch kann über eine Webseite eine Datei auf dem lokalen System des Benutzers als XML-Datenquelle angegeben und somit gelesen werden.
Zum Anfang

Lösung

Installieren Sie das neueste Service Pack für Microsoft SQL Server 2000, um dieses Problem zu beheben. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
290211  (http://support.microsoft.com/kb/290211/DE/ ) INFO: So erhalten Sie das neueste Service Pack für SQL Server 2000
Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:
Bild minimierenBild vergrößern
Download
Paket "Msxml4qfe.exe" jetzt herunterladen (http://www.microsoft.com/windows/ie/downloads/critical/q317244/download.asp) Datum der Freigabe: 21. Februar 2002

Weitere Informationen zum Download von Microsoft Support-Dateien finden Sie im folgenden Artikel der Microsoft Knowledge Base:
119591  (http://support.microsoft.com/kb/119591/ ) So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Nach der Bereitstellung befindet sich die Datei auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden. Die englische Version dieses Hotfixes weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Datums- und Uhrzeitangaben für diese Dateien sind in der "Coordinated Universal Time" (UTC) angegeben. Wenn Sie die Dateiinformationen anzeigen, werden diese Angaben in die lokale Zeit konvertiert. Den Unterschied zwischen UTC-Zeit und lokaler Zeit können Sie in der Systemsteuerung unter "Datum und Uhrzeit" mithilfe der Angaben auf der Registerkarte Zeitzone ermitteln.
   Datum        Version       Größe       Dateiname     Plattform
   -------------------------------------------------------------
   07-Feb-2002  4.00.9406.0   1.229.312   Msxml4.dll    x86
   07-Feb-2002  4.00.9406.0      44.544   Msxml4a.dll   x86
   07-Feb-2002  4.00.9406.0      82.432   Msxml4r.dll   x86

Zum Anfang
Sie benötigen Windows Installer 2.0 oder höher, um dieses Update installieren zu können. Sie müssen den Computer eventuell neu starten, nachdem Sie Windows Installer 2.0 oder eine spätere Version installiert haben.

Besuchen Sie eine der folgenden Websites von Microsoft, um Windows Installer herunterzuladen:

Hinweis: Windows XP-Benutzer können diesen Schritt auslassen.
Windows Installer 2.0 Redistributable for Windows NT 4.0 and 2000
http://www.microsoft.com/downloads/details.aspx?FamilyID=4b6140f9-2d36-4977-8fa1-6f8a0f5dca8f&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=4b6140f9-2d36-4977-8fa1-6f8a0f5dca8f&DisplayLang=en)
Windows Installer 2.0 Redistributable for Windows 95, 98, and Me
http://www.microsoft.com/downloads/details.aspx?FamilyID=cebbacd8-c094-4255-b702-de3bb768148f%20&displaylang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=cebbacd8-c094-4255-b702-de3bb768148f%20&displaylang=en)
Zum Anfang

Status

Microsoft hat bestätigt, dass dieses Problem in gewissem Maße ein Sicherheitsproblem in Microsoft XML 4.0 zur Folge haben kann. Dieses Problem wurde erstmals in Microsoft SQL Server 2000 Service Pack 3 behoben.Dieses Problem wurde in Microsoft XML 4.0 Service Pack 1 behoben.
Besuchen Sie die folgende Microsoft-Website, um die neueste Version von MSXML herunterzuladen:
http://www.microsoft.com/downloads/details.aspx?FamilyID=87925008-ec5a-4ff2-a7ef-549ab0394eda&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=87925008-ec5a-4ff2-a7ef-549ab0394eda&DisplayLang=en)
Zum Anfang

Weitere Informationen

Betroffene Versionen von MSXML werden als Bestandteil verschiedener Produkte ausgeliefert. Das Update sollte auf Systeme angewendet werden, auf denen eines der folgenden Microsoft-Produkte installiert ist:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML kann auch separat installiert werden. MSXML wird in diesem Fall als DLL im Unterordner "System32" des Ordners für das Windows-Betriebssystem installiert. Bei den meisten Systemen handelt es sich dabei wahrscheinlich um den Ordner "C:\Windows" oder "C:\winnt". Wenn sich in Ihrem Ordner "System32" eine oder alle der folgenden Dateien befinden, benötigen Sie das Update:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Wenn sich lediglich die Datei "Msxml.dll" in dem Ordner befindet, benötigen Sie das Update nicht, da es sich dabei um eine ältere Version handelt, die nicht betroffen ist.

Wichtig: Der Hotfix-Installer für dieses Update hat keine integrierte Deinstallationsfunktion.
Zum Anfang

Informationsquellen

Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie auf folgender Website von Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-008.mspx (http://www.microsoft.com/technet/security/bulletin/MS02-008.mspx)
Zum Anfang
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft XML Core Services 4.0
Zum Anfang
Keywords: 
kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbie600sp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix kbie600sp1fix KB317244
Zum Anfang
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

SPRACHE AUSWÄHLEN