MS02-008: Controle XMLHTTP em MSXML 4.0 pode permitir acesso a arquivos locais

Traduções deste artigo Traduções deste artigo
ID do artigo: 317244 - Exibir os produtos aos quais esse artigo se aplica.
Para obter informações adicionais sobre essa vulnerabilidade, clique nos números abaixo para visualizar os artigos na Base de Dados de Conhecimento da Microsoft:
318203 MS02-008: Controle XMLHTTP em MSXML 3.0 pode permitir acesso a arquivos locais
318202 MS02-008: Controle XMLHTTP em MSXML 2.0 pode permitir acesso a arquivos locais
Expandir tudo | Recolher tudo

Sintomas

Existe uma vulnerabilidade de divulgação de informações que pode permitir que um invasor leia arquivos no sistema de arquivos local de um usuário que visita um site especialmente mal-formado.

O invasor não poderá adicionar, alterar ou excluir arquivos. Além disso, o invasor não poderá usar um email para fazer esse ataque; a vulnerabilidade somente pode ser explorada por meio de um site. Os clientes que têm cuidado ao navegar e evitam visitar sites desconhecidos ou não confiáveis correm menos risco com essa vulnerabilidade.

Causa

A vulnerabilidade existe porque o controle XMLHTTP no Microsoft XML Core Services não respeita as restrições da Zona de Segurança do Internet Explorer. Isso permite que uma página da Web especifique um arquivo em um sistema local do usuário, como uma fonte de dados XML, como um meio de ler o arquivo.

Resolução

Para resolver esse problema, obtenha o service pack mais recente do Microsoft SQL Server 2000. Para obter informações adicionais, clique no número abaixo para visualizar o artigo na Base de Dados do Conhecimento da Microsoft:
290211 INF: Como obter o service pack para Windows NT 2000 mais recente
O seguinte arquivo está disponível para download no Centro de Download da Microsoft:
Recolher esta imagemExpandir esta imagem
Download
Baixe o Msxml4qfe.exe agora(site em inglês)
Data de Lançamento: 21 de fevereiro de 2002

Para obter informações adicionais sobre como baixar arquivos de Suporte da Microsoft, clique no número abaixo para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
119591 Como obter arquivos de suporte da Microsoft nos serviços online
A Microsoft examinou esse arquivo em busca de vírus. A Microsoft utilizou o software de detecção de vírus mais atualizado disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo. A versão em inglês desta correção deverá ter os seguintes atributos de arquivo ou posteriores:
   Data         Versão      Tamanho       Nome do Arquivo    Plataforma
   -------------------------------------------------------------
   07-fev-2002  4.00.9406.0   1,229,312   Msxml4.dll    x86
   07-fev-2002  4.00.9406.0      44,544   Msxml4a.dll   x86
   07-fev-2002  4.00.9406.0      82,432   Msxml4r.dll   x86
				

Situação

A Microsoft confirmou que esse problema pode causar um certo nível de vulnerabilidade no Microsoft XML 4.0. Esse problema foi corrigido primeiro no Microsoft SQL Server 2000 Service Pack 3.Esse problema foi corrigido primeiro no Microsoft XML 4.0 Service Pack 1.

Para baixar a versão mais recente do MSXML, visite o seguinte site da Microsoft na Web:
http://www.microsoft.com/downloads/details.aspx?FamilyID=87925008-ec5a-4ff2-a7ef-549ab0394eda&DisplayLang=en(site em inglês)

Mais Informações

As versões afetadas do MSXML fazem parte de vários produtos. Você deve aplicar o patch a sistemas com alguns dos seguintes produtos Microsoft:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
O MSXML também pode ser instalado separadamente. O MSXML está instalado como uma DLL na subpasta System32 da pasta do sistema operacional Windows. Na maioria dos sistemas provavelmente será C:\Windows ou C:\winnt. Se tiver algum ou todos os arquivos a seguir na pasta System32, você precisará do patch:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Se tiver somente o Msxml.dll, não será necessário o patch pois é uma versão anterior e não afetada.

Importante Note que o instalador do hotfix para esse patch não tem um recurso de desinstalação.

Referências

Para obter informações adicionais sobre essa vulnerabilidade, acesse o seguinte site da Microsoft na Web:
http://www.microsoft.com/technet/security/bulletin/MS02-008.mspx(site em inglês)

Propriedades

ID do artigo: 317244 - Última revisão: segunda-feira, 18 de dezembro de 2006 - Revisão: 8.0
A informação contida neste artigo aplica-se a:
  • Microsoft XML Core Services 4.0
Palavras-chave: 
kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix KB317244

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com