MS02-008: XMLHTTP-kontrolelement i MSXML 4.0 kan tillade adgang til lokale filer

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 317244 - Få vist de produkter, som denne artikel refererer til.
Yderligere oplysninger om denne svaghed finder du ved at klikke på nedenstående artikelnumre for at få vist artiklerne i Microsoft Knowledge Base:
318203 MS02-008: XMLHTTP-kontrolelement i MSXML 3.0 kan tillade adgang til lokale filer (artiklen er evt. på engelsk)
318202 MS02-008: XMLHTTP-kontrolelement i MSXML 2.0 kan tillade adgang til lokale filer (artiklen er evt. på engelsk)
Udvid alle | Skjul alle

Symptomer

Der findes en sårbarhed over for afsløring af oplysninger, som vil kunne tillade en angriber at læse filer på en brugers lokale filsystem, når brugeren besøger et særligt forkert udformet websted.

Angriberen vil ikke kunne tilføje, ændre eller slette filer. Angriberen vil heller ikke kunne bruge e-mail til at udføre sit angreb; svagheden kan kun udnyttes via et websted. Der er ikke nogen særlig risiko ved denne svaghed for de kunder, der udviser forsigtighed, når de er på nettet, og som undgår at besøge ukendte eller upålidelige websteder.

Årsag

Svagheden findes, fordi XMLHTTP-kontrolelementet i Microsoft XML Core Services ikke overholder begrænsningerne for sikkerhedszonen i Internet Explorer. Dermed bliver det muligt for en webside at angive en fil på en brugers lokale system som en XML-datakilde for at kunne læse filen.

Løsning

Hvis du vil løse problemet, skal du anskaffe den nyeste Service Pack til Microsoft SQL Server 2000. Yderligere oplysninger finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
290211 INF: Sådan får du den nyeste Service Pack til SQL Server 2000 (artiklen er evt. på engelsk)
Følgende fil kan hentes fra Microsoft Download Center:
Skjul billedetUdvid billedet
Hent
Hent Msxml4qfe.exe nu
Udgivelsesdato: 21. februar 2002

Yderligere oplysninger om, hvordan du henter filer fra Microsoft Support, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
119591 Sådan hentes Microsoft-supportfiler på onlinetjenester
Microsoft har scannet denne fil for virus. Dertil har Microsoft anvendt de nyeste antivirusprogrammer, der var tilgængelige på det tidspunkt, da filen blev lagt ud. Filen gemmes på servere med forbedret sikkerhed, der medvirker til at forhindre uautoriserede ændringer af filen. Den engelske udgave af denne programrettelse indeholder følgende eller nyere filattributter:
   Dato       Version         Størrelse     Filnavn     Platform
   -------------------------------------------------------------
   07-02-2002   4.00.9406.0   1.229.312   Msxml4.dll    x86
   07-02-2002   4.00.9406.0      44.544   Msxml4a.dll   x86
   07-02-2002   4.00.9406.0      82.432   Msxml4r.dll   x86
				

Status

Microsoft har bekræftet, at dette problem kan forårsage en vis sikkerhedsbrist i Microsoft XML 4.0. Problemet blev første gang rettet i Microsoft SQL Server 2000 Service Pack 3.Problemet blev første gang rettet i Microsoft XML 4.0 Service Pack 1.

Hent den nyeste version af MSXML på følgende Microsoft-websted:
http://www.microsoft.com/downloads/details.aspx?FamilyID=87925008-ec5a-4ff2-a7ef-549ab0394eda&DisplayLang=en

Yderligere Information

Berørte versioner af MSXML leveres som del af flere produkter. Du bør anvende programrettelsen på følgende Microsoft-produkter:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML kan også installeres separat. MSXML installeres som en DLL-fil i undermappen System32 i mappen med Windows-operativsystem. På de fleste systemer vil det ofte være C:\Windows eller C:\winnt. Hvis du har en eller alle følgende filer i mappen System32, har du brug for en programrettelse:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Hvis du kun har Msxml.dll, behøver du ikke programrettelsen, fordi det er en tidligere, ikke-berørt version.

Vigtigt! Bemærk, at installationsprogrammet til denne programrettelse ikke indeholder en funktion til afinstallation.

Referencer

Yderligere oplysninger om denne svaghed finder du på følgende Microsoft-websted:
http://www.microsoft.com/technet/security/bulletin/MS02-008.asp

Egenskaber

Artikel-id: 317244 - Seneste redigering: 18. december 2006 - Redigering: 8.0
Oplysningerne i denne artikel gælder:
  • Microsoft XML Core Services 4.0
Nøgleord: 
kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix KB317244

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com