MS02-008: Ovládací prvek XMLHTTP ve službě MSXML 4.0 může umožnit přístup k místním souborům

Překlady článku Překlady článku
ID článku: 317244 - Produkty, které se vztahují k tomuto článku.
Další informace o této chybě zabezpečení získáte v následujících článcích znalostní báze Microsoft Knowledge Base:
318203 MS02-008: Ovládací prvek XMLHTTP ve službě MSXML 3.0 může umožnit přístup k místním souborům
318202 MS02-008: Ovládací prvek XMLHTTP ve službě MSXML 2.0 může umožnit přístup k místním souborům (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Rozbalit všechny záložky | Minimalizovat všechny záložky

Příznaky

Existuje chyba zpřístupnění informací, která může útočníkovi umožnit čtení souborů v lokálním souborovém systému uživatele, který navštívil speciálně vytvořený nebezpečný web.

Útočník by nemohl přidávat, měnit nebo odstraňovat soubory. Útočník by navíc k tomuto útoku nemohl použít e-mail, tuto chybu zabezpečení lze zneužít pouze prostřednictvím webu. Zákazníci, kteří při procházení zachovávají opatrnost a vyhýbají se návštěvám neznámých nebo nedůvěryhodných webů, jsou touto chybou zabezpečení méně ohroženi.

Příčina

Tato chyba zabezpečení existuje, protože ovládací prvek XMLHTTP ve službě Microsoft XML Core Services nerespektuje omezení zón zabezpečení aplikace Internet Explorer. To umožní webové stránce určit v místním souboru uživatele soubor jako datový zdroj XML, který použije jako nástroj ke čtení dat.

Řešení

Potíže vyřešíte pomocí nejnovější aktualizace Service Pack pro server Microsoft SQL Server 2000. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
290211 Jak získat nejnovější aktualizaci Service Pack pro SQL Server 2000
Ve službě Stažení softwaru je k dispozici ke stažení následující soubor:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček Msxml4qfe.exe Datum vydání: 21. 02. 2002

Další informace, jak stahovat soubory podpory společnosti Microsoft, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
119591 Jak získat soubory odborné pomoci společnosti Microsoft ze serverů služeb online
Tento soubor byl zkontrolován na výskyt virů. Společnost Microsoft použila ke kontrole tohoto souboru nejnovější antivirový software, který byl v době jeho publikování k dispozici. Po publikování je soubor uložen na zabezpečených serverech neumožňujících neoprávněné změny souborů. Anglická verze této opravy hotfix má následující (nebo pozdější) atributy souborů. Data a časy jednotlivých souborů jsou uvedeny ve formátu UTC (Coordinated Universal Time). Při zobrazení informací o souboru jsou data a čas převedeny na místní čas. Rozdíl mezi místním časem a časem UTC naleznete na kartě Časové pásmo na panelu Datum a čas v okně Ovládací panely.
   Datum         Verze        Velikost       Název souboru    Platforma
   -------------------------------------------------------------
   7. 2. 2002  4.00.9406.0   1 229 312   Msxml4.dll    x86
   7. 2. 2002  4.00.9406.0      44 544   Msxml4a.dll   x86
   7. 2. 2002  4.00.9406.0      82 432   Msxml4r.dll   x86
				

K instalaci této opravy je vyžadována Instalační služba Windows Installer verze 2.0 nebo novější. Po instalaci Instalační služby Windows Installer verze 2.0 nebo novější bude možná potřeba restartovat počítač.

Instalační službu Windows Installer je možné stáhnout z následujících webů společnosti Microsoft:

Poznámka: Uživatelé systému Windows XP mohou tento krok vynechat.
Redistribuovatelná verze Instalační služby Windows Installer verze 2.0 pro systémy Windows NT 4.0 a 2000
http://www.microsoft.com/downloads/details.aspx?FamilyID=4b6140f9-2d36-4977-8fa1-6f8a0f5dca8f&DisplayLang=en
Redistribuovatelná verze Instalační služby Windows Installer verze 2.0 pro systémy Windows 95, 98 a ME
http://www.microsoft.com/downloads/details.aspx?FamilyID=cebbacd8-c094-4255-b702-de3bb768148f%20&displaylang=en

Prohlášení

Společnost Microsoft potvrzuje, že tento problém může určitým způsobem ohrozit zabezpečení systému Microsoft Windows 2000. Tento problém byl poprvé opraven v aktualizaci Microsoft SQL Server 2000 Service Pack 3.Tento problém byl poprvé opraven aktualizací Microsoft XML 4.0 Service Pack 1.
Chcete-li stáhnout nejnovější verzi služby MSXML, přejděte na následující web společnosti Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=87925008-ec5a-4ff2-a7ef-549ab0394eda&DisplayLang=en

Další informace

Ohrožené verze služby MSXML se dodávají jako součást několika produktů. Opravu je třeba použít v systémech s některým z následujících produktů společnosti Microsoft:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
Služba MSXML může být nainstalována také samostatně. Služba MSXML je nainstalována jako knihovna DLL v podsložce System32 operačního systému Windows. Ve většině systémů se bude pravděpodobně jednat o složky C:\Windows nebo C:\winnt. Pokud jsou ve složce System32 některé nebo všechny následující soubory, bude třeba použít opravu:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Pokud máte pouze soubor Msxml.dll, není oprava potřeba, protože se jedná o starší verzi, která není ohrožena.

Důležité: Instalační program této opravy nedisponuje funkcí odinstalace.

Odkazy

Další informace o této chybě zabezpečení naleznete na následujícím webu společnosti Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-008.mspx

Vlastnosti

ID článku: 317244 - Poslední aktualizace: 18. dubna 2007 - Revize: 12.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft XML Core Services 4.0
Klíčová slova: 
kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbie600sp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix kbie600sp1fix KB317244

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com