MS02-008: El control XMLHTTP en MSXML 4.0 puede permitir el acceso a archivos locales

Id. de artículo: 317244 - Ver los productos a los que se aplica este artículo
Para obtener información adicional acerca de esta vulnerabilidad, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
318203
(http://support.microsoft.com/kb/318203/ )
MS02-008: El control XMLHTTP en MSXML 3.0 puede permitir el acceso a archivos locales
318202
(http://support.microsoft.com/kb/318202/ )
MS02-008: El control XMLHTTP en MSXML 2.0 puede permitir el acceso a archivos locales
Expandir todo | Contraer todo

Síntomas

Existe una vulnerabilidad de revelación de información que podría permitir a un atacante leer archivos del sistema de archivos local de un usuario que visite un sitio Web especialmente mal construido.

El atacante no podría agregar, modificar ni eliminar archivos. Además, tampoco podría utilizar el correo electrónico para llevar a cabo su ataque; sólo puede aprovecharse de esta vulnerabilidad mediante un sitio Web. Los clientes que sean cautos al explorar y eviten visitar sitios Web desconocidos o que no sean de confianza tienen menos riego de verse afectados por esta vulnerabilidad.
Volver al principio | Enviar comentarios

Causa

La vulnerabilidad existe porque el control XMLHTTP de Microsoft XML Core Services no respeta las restricciones de zona de seguridad de Internet Explorer. Esto permite que una página Web especifique un archivo del sistema local de un usuario como origen de datos XML para poder leer el archivo.
Volver al principio | Enviar comentarios

Solución

Para resolver este problema, obtenga el Service Pack más reciente para Microsoft SQL Server 2000. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
290211
(http://support.microsoft.com/kb/290211/ )
INF: Cómo obtener el Service Pack más reciente de SQL Server 2000
El archivo siguiente se puede descargar desde el Centro de descarga de Microsoft:
Contraer esta imagenAmpliar esta imagen
Descargar
Descargar Msxml4qfe.exe ahora
(http://www.microsoft.com/windows/ie/downloads/critical/q317244/download.asp)
Fecha de publicación: 21 de febrero de 2002

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591
(http://support.microsoft.com/kb/119591/ )
Cómo obtener Archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft exploró este archivo en busca de virus. Microsoft utilizó el software de detección de virus más reciente disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados. La versión en inglés de esta revisión debe tener los atributos de archivo siguientes u otros posteriores:


Contraer esta tablaAmpliar esta tabla
FechaVersiónTamañoNombre de archivoPlataforma
07-Feb-20024.00.9406.01.229.312Msxml4.dllx86
07-Feb-20024.00.9406.044.544Msxml4a.dllx86
07-Feb-20024.00.9406.082.432Msxml4r.dllx86



Volver al principio | Enviar comentarios

Estado

Microsoft ha confirmado que este problema puede causar cierto grado de vulnerabilidad de la seguridad en Microsoft XML 4.0. Este problema se corrigió por primera vez en el Service Pack 3 de Microsoft SQL Server 2000.Este problema se corrigió en el Service Pack 1 de Microsoft XML 4.0.

Para descargar la versión más reciente de MSXML, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=87925008-ec5a-4ff2-a7ef-549ab0394eda&DisplayLang=en
(http://msdn.microsoft.com/downloads/default.asp?url=/downloads/sample.asp?url=/msdn-files/027/001/766/msdncompositedoc.xml)
Volver al principio | Enviar comentarios

Más información

Las versiones afectadas de MSXML se suministran como parte de varios productos. Debe aplicar la revisión a los sistemas que tengan instalado cualquiera de los siguientes productos de Microsoft:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML también se puede instalar por separado. MSXML se instala como una DLL en la subcarpeta System32 de la carpeta del sistema operativo Windows. En la mayoría de los sistemas suele ser C:\Windows o C:\winnt. Necesitará la revisión si la carpeta System32 contiene alguno de estos archivos o todos ellos:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Si sólo contiene el archivo Msxml.dll, no necesita la revisión ya que se trata de una versión anterior que no se ve afectada.

Importante Tenga en cuenta que el programa de instalación de esta revisión no ofrece ninguna función de desinstalación.
Volver al principio | Enviar comentarios

Referencias

Para obtener más información acerca de esta vulnerabilidad, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-008.asp
(http://www.microsoft.com/technet/security/bulletin/MS02-008.asp)
Volver al principio | Enviar comentarios

Propiedades

Id. de artículo: 317244 - Última revisión: lunes, 18 de diciembre de 2006 - Versión: 8.0
La información de este artículo se refiere a:
  • Microsoft XML Core Services 4.0
Palabras clave: 
kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix KB317244
Volver al principio | Enviar comentarios

Enviar comentarios

 
Volver al principioVolver al principio