MS02-008: Το στοιχείο ελέγχου XMLHTTP στο MSXML 4.0 μπορεί να επιτρέψει την πρόσβαση σε τοπικά αρχεία

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 317244 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Για πρόσθετες πληροφορίες σχετικά με αυτό το θέμα ευπάθειας, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
318203 MS02-008: Το στοιχείο ελέγχου XMLHTTP στο MSXML 3.0 μπορεί να επιτρέψει την πρόσβαση σε τοπικά αρχεία
318202 MS02-008: Το στοιχείο ελέγχου XMLHTTP στο MSXML 2.0 μπορεί να επιτρέψει την πρόσβαση σε τοπικά αρχεία
Ανάπτυξη όλων | Σύμπτυξη όλων

Συμπτώματα

Υπάρχει ένα θέμα ευπάθειας που αφορά την αποκάλυψη πληροφοριών, το οποίο θα μπορούσε να επιτρέψει σε έναν εισβολέα να διαβάσει αρχεία στο τοπικό σύστημα αρχείων ενός χρήστη ο οποίος επισκέπτεται μια ιδιαίτερα ακατάλληλη τοποθεσία Web.

Ο εισβολέας δεν θα έχει τη δυνατότητα να προσθέσει, να αλλάξει ή να διαγράψει αρχεία. Επιπλέον, ο εισβολέας δεν θα έχει τη δυνατότητα να χρησιμοποιήσει το ηλεκτρονικό ταχυδρομείο για να πραγματοποιήσει αυτήν την εισβολή. H εκμετάλλευση αυτού του θέματος ευπάθειας είναι δυνατή μόνο μέσω μιας τοποθεσίας Web. Οι πελάτες που προσέχουν κατά την περιήγηση και αποφεύγουν να επισκέπτονται άγνωστες ή μη αξιόπιστες τοποθεσίες κινδυνεύουν λιγότερο από αυτό το θέμα ευπάθειας.

Αιτία

Η ευπάθεια υφίσταται επειδή το στοιχείο ελέγχου XMLHTTP στις βασικές υπηρεσίες Microsoft XML δεν τηρεί τους περιορισμούς της ζώνης ασφαλείας του Internet Explorer. Αυτό δίνει τη δυνατότητα σε μια ιστοσελίδα να ορίσει ένα αρχείο στο τοπικό σύστημα ενός χρήστη ως αρχείο προέλευσης δεδομένων XML, ως μέσο ανάγνωσης του αρχείου.

Προτεινόμενη αντιμετώπιση

Για να επιλύσετε αυτό το ζήτημα, αποκτήστε το πιο πρόσφατο Service Pack για τον Microsoft SQL Server 2000. Για πρόσθετες πληροφορίες, κάντε κλικ στον ακόλουθο αριθμό άρθρου, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
290211 ΠΛΗΡΟΦΟΡΙΕΣ: Τρόπος απόκτησης του τελευταίου Service Pack του SQL Server 2000
Το ακόλουθο αρχείο είναι διαθέσιμο για λήψη από το Κέντρο λήψης της Microsoft (Microsoft Download Center):
Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
Λήψη
Άμεση λήψη του Msxml4qfe.exe
Ημερομηνία κυκλοφορίας: 21 Φεβρουαρίου 2002

Για περισσότερες πληροφορίες σχετικά με τον τρόπο λήψης αρχείων υποστήριξης της Microsoft, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
119591 Τρόπος απόκτησης αρχείων υποστήριξης της Microsoft από ηλεκτρονικές υπηρεσίες
Η Microsoft εξέτασε αυτό το αρχείο για ιούς. Η Microsoft χρησιμοποίησε το πιο πρόσφατο λογισμικό εντοπισμού ιών που ήταν διαθέσιμο κατά την ημερομηνία δημοσίευσης του αρχείου. Το αρχείο είναι αποθηκευμένο σε διακομιστές με ενισχυμένη ασφάλεια, οι οποίοι βοηθούν στην αποτροπή μη εξουσιοδοτημένων αλλαγών στο αρχείο. Η αγγλική έκδοση αυτής της ενημέρωσης κώδικα πρέπει να έχει τα εξής χαρακτηριστικά αρχείου ή νεότερα:
   Ημερομηνία   Έκδοση        Μέγεθος     Όνομα αρχείου   Πλατφόρμα
   ----------------------------------------------------------------
   07-Feb-2002  4.00.9406.0   1.229.312   Msxml4.dll      x86
   07-Feb-2002  4.00.9406.0      44.544   Msxml4a.dll     x86
   07-Feb-2002  4.00.9406.0      82.432   Msxml4r.dll     x86
				

Κατάσταση

Η Microsoft έχει επιβεβαιώσει ότι αυτό το ζήτημα μπορεί να προκαλέσει κάποιο βαθμό ευπάθειας ασφαλείας στο Microsoft XML 4.0. Το ζήτημα αυτό διορθώθηκε αρχικά στο Service Pack 3 του Microsoft SQL Server 2000.Το ζήτημα αυτό διορθώθηκε αρχικά στο Service Pack 1 του Microsoft XML 4.0.

Για να κάνετε λήψη της τελευταίας έκδοσης του προγράμματος MSXML, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://www.microsoft.com/downloads/details.aspx?FamilyID=87925008-ec5a-4ff2-a7ef-549ab0394eda&DisplayLang=en

Περισσότερες πληροφορίες

Οι επηρεαζόμενες εκδόσεις του MSXML αποστέλλονται ως τμήμα διαφόρων προϊόντων. Πρέπει να εφαρμόσετε την ενημερωμένη έκδοση κώδικα σε συστήματα που έχουν οποιαδήποτε από τα ακόλουθα προϊόντα της Microsoft:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
Το MSXML μπορεί επίσης να εγκατασταθεί μεμονωμένα. Το MSXML εγκαθίσταται ως DLL στον υποφάκελο System32 του φακέλου του λειτουργικού συστήματος των Windows. Στα περισσότερα συστήματα, ο φάκελος αυτός συνήθως βρίσκεται στη διαδρομή C:\Windows ή C:\winnt. Εάν έχετε κάποιο ή όλα τα ακόλουθα αρχεία στο φάκελο System32, χρειάζεστε την ενημερωμένη έκδοση κώδικα:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Εάν έχετε μόνο το Msxml.dll, δεν χρειάζεστε την ενημερωμένη έκδοση κώδικα, επειδή πρόκειται για παλαιότερη έκδοση που δεν επηρεάζεται.

Σημαντικό Σημειώστε ότι το πρόγραμμα εγκατάστασης επειγουσών επιδιορθώσεων για αυτήν την ενημερωμένη έκδοση κώδικα δεν διαθέτει δυνατότητα απεγκατάστασης.

Αναφορές

Για περισσότερες πληροφορίες σχετικά με αυτό το θέμα ευπάθειας, επισκεφτείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://www.microsoft.com/technet/security/bulletin/MS02-008.asp

Ιδιότητες

Αναγν. άρθρου: 317244 - Τελευταία αναθεώρηση: Δευτέρα, 18 Δεκεμβρίου 2006 - Αναθεώρηση: 8.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft XML Core Services 4.0
Λέξεις-κλειδιά: 
kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix KB317244

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com