MS02-008: MSXML 4.0:n XMLHTTP-ohjausobjekti voi sallia pääsyn paikallisiin tiedostoihin

Artikkeleiden käännökset Artikkeleiden käännökset
Artikkelin tunnus: 317244 - Näytä tuotteet, joita tämä artikkeli koskee.
Saat lisätietoja tästä heikkoudesta napsauttamalla seuraavia artikkelien numeroita, jolloin pääset lukemaan artikkelit Microsoft Knowledge Base -tietokannassa:
318203 MS02-008: MSXML 3.0:n XMLHTTP-ohjausobjekti voi sallia paikallisten tiedostojen käyttämisen
318202 MS02-008: MSXML 2.0:n XMLHTTP-ohjausobjekti voi sallia pääsyn paikallisiin tiedostoihin (tämä artikkeli saattaa olla englanninkielinen)
Laajenna kaikki | Kutista kaikki

Oire

On olemassa tietoja paljastava heikkous, joka voi sallia sen, että hyökkääjä lukee haitalliseksi suunnitellussa sivustossa käyvän käyttäjän tietokoneessa olevia tiedostoja.

Hyökkääjä ei voi lisätä, muuttaa tai poistaa tiedostoja. Hyökkääjä ei voi toteuttaa tätä hyökkäystä sähköpostin avulla. Heikkoutta voidaan hyödyntää vain verkkosivuston välityksellä. Tämä heikkous aiheuttaa pienemmän riskin sellaisille asiakkaille, jotka ovat selaamisessaan varovaisia ja välttävät vierailuja tuntemattomissa tai epäluotettavissa sivustoissa.

Syy

Tämän heikkouden aiheuttaa se, ettei Microsoft XML Core Servicesin XMLHTTP-ohjausobjekti noudata Internet Explorerin suojausvyöhykkeiden rajoituksia. Tämän vuoksi verkkosivu pystyy määrittämään käyttäjän paikallisessa järjestelmässä olevan tiedoston XML-tietolähteeksi, mikä mahdollistaa tiedoston lukemisen.

Ratkaisu

Voit korjata ongelman lataamalla uusimman Microsoft SQL Serverin Service Packin. Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
290211 Uusimman SQL Server 2000 Service Pack -paketin hankkiminen (tämä artikkeli saattaa olla englanninkielinen)
Voit ladata seuraavan tiedoston Microsoft Download Centeristä:
Kutista tämä kuvaLaajenna tämä kuva
Lataa
Lataa Msxml4qfe.exe-paketti nyt. Julkaisupäivämäärä: 21.2.2002

Lisätietoja Microsoft-tukitiedostojen lataamisesta ja asentamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
119591 Microsoft-tukitiedostojen hankkiminen online-palveluista
Microsoft on tarkistanut tämän tiedoston virusten varalta. Microsoft käytti viimeisintä virustentarkistusohjelmaa, joka oli saatavana tiedoston julkaisupäivänä. Tiedosto on tallennettu suojattuihin palvelimiin, joten sitä ei voi muokata luvattomasti. Tämän hotfix-korjauksen englanninkielisessä versiossa on seuraavassa taulukossa luetellut tiedostomääritteet (tai uudemmat). Tiedostojen päivämäärät ja kellonajat ovat UTC (Coordinated Universal Time) -ajan mukaisia. Kun tarkastelet tiedoston tietoja, sen aika muunnetaan paikalliseksi ajaksi. Voit selvittää UTC-ajan ja paikallisen ajan välisen eron Ohjauspaneelin Päivämäärä ja aika -työkalun Aikavyöhyke-välilehdessä.
   Päiväys  Versio    Koko   Tiedostonimi     Käyttöympäristö
   -------------------------------------------------------------
   7.2.2002  4.00.9406.0   1,229,312   Msxml4.dll    x86
   7.2.2002  4.00.9406.0      44,544   Msxml4a.dll   x86
   7.2.2002  4.00.9406.0      82,432   Msxml4r.dll   x86
				

Tämän korjauksen asentaminen edellyttää Windows Installer 2.0:n tai uudemman version. Saatat joutua käynnistämään tietokoneen uudelleen Windows Installer 2.0:n tai Windows Installerin uudemman version asentamisen jälkeen.

Voit ladata Windows Installerin käymällä jossakin seuraavista Microsoftin verkkosivustoista:

Huomautus Windows XP -käyttäjät voivat ohittaa tämän vaiheen.
Windows NT 4.0:n ja Windows 2000:n Windows Installer 2.0 -uudelleenjakeluversio
http://www.microsoft.com/downloads/details.aspx?FamilyID=4b6140f9-2d36-4977-8fa1-6f8a0f5dca8f&DisplayLang=en
Windows 95:n, Windows 98:n ja Windows Me:n Windows Installer 2.0 -uudelleenjakeluversio
http://www.microsoft.com/downloads/details.aspx?FamilyID=cebbacd8-c094-4255-b702-de3bb768148f%20&displaylang=en

Tila

Microsoft on vahvistanut, että tämä ongelma saattaa aiheuttaa jonkinasteisen tietoturvaheikkouden Microsoft XML 4.0:ssa. Tämä ongelma korjattiin ensimmäisen kerran Microsoft SQL Server 2000 Service Pack 3:ssa.Tämä ongelma on korjattu Microsoft XML 4.0:n Service Pack 1:ssä.
Voit ladata MSXML:n uusimman version seuraavasta Microsoftin verkkosivustosta:
http://www.microsoft.com/downloads/details.aspx?FamilyID=87925008-ec5a-4ff2-a7ef-549ab0394eda&DisplayLang=en

Enemmän tietoa

Heikkouden sisältävät MSXML:n versiot toimitetaan monen eri tuotteen mukana. Korjaustiedosto on asennettava sellaisiin järjestelmiin, joissa on jokin seuraavista Microsoft-tuotteista:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML voidaan asentaa myös erikseen. MSXML asennetaan DLL-tiedostona Windowsin käyttöjärjestelmäkansion System32-alikansioon. Useimmissa järjestelmissä käyttöjärjestelmäkansio on C:\Windows tai C:\winnt. Jos System32-kansiossa on jokin seuraavista tiedostoista tai ne kaikki, tarvitset tämän korjaustiedoston:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll.
Jos tiedoston nimi on Msxml.dll, et tarvitse korjaustiedostoa, koska kyseessä on aiempi versio, jossa ongelmaa ei esiinny.

Tärkeää Tämän korjaustiedoston hotfix-asennusohjelmassa ei ole asennuksen poistamisen toimintoa.

Suositukset

Lisätietoja tästä heikkoudesta on seuraavassa Microsoftin verkkosivustossa:
http://www.microsoft.com/technet/security/bulletin/MS02-008.mspx

Ominaisuudet

Artikkelin tunnus: 317244 - Viimeisin tarkistus: 25. toukokuuta 2007 - Versio: 12.0
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Microsoft XML Core Services 4.0
Hakusanat: 
kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbie600sp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix kbie600sp1fix KB317244

Anna palautetta

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com