MS02-008 : Un contrôle XMLHTTP de MSXML 4.0 peut autoriser l'accès à des fichiers locaux

Traductions disponibles Traductions disponibles
Numéro d'article: 317244 - Voir les produits auxquels s'applique cet article
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Pour plus d'informations sur ce problème de sécurité, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
318203 MS02-008 : Un contrôle XMLHTTP de MSXML 3.0 peut autoriser l'accès à des fichiers locaux
318202 MS02-008 : Un contrôle XMLHTTP de MSXML 2.0 peut autoriser l'accès à des fichiers locaux
Agrandir tout | Réduire tout

Symptômes

Il existe un problème de sécurité concernant la divulgation d'informations qui pourrait permettre à un utilisateur malveillant de lire des fichiers du système de fichiers local d'un utilisateur qui visite un site Web particulièrement mal configuré.

L'utilisateur malveillant ne serait pas en mesure d'ajouter, de modifier ni de supprimer des fichiers. En outre, il ne pourrait pas utiliser de message électronique pour exécuter son acte malveillant car ce problème de sécurité n'est exploitable que par le biais du site Web. Les clients précautionneux qui évitent de visiter des sites inconnus ou douteux lorsqu'ils naviguent sur le Web risquent moins de s'exposer à ce problème de sécurité.

Cause

Ce problème de sécurité vient d'un contrôle XMLHTTP des services noyau de Microsoft XML qui ne respecte pas les restrictions des zones de sécurité d'Internet Explorer. Cela permet à une page Web de spécifier un fichier sur le système local de l'utilisateur en tant que source de données XML comme moyen de lecture du fichier.

Résolution

Pour résoudre ce problème, procurez-vous le dernier Service Pack Microsoft SQL Server 2000. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
290211 INF : Comment faire pour obtenir le dernier Service Pack SQL Server 2000
Vous pouvez télécharger le fichier suivant à partir du Centre de téléchargement Microsoft (en anglais) :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger Msxml4qfe.exe maintenant
Date de publication : 21 février 2002

Pour plus d'informations sur la façon de télécharger des fichiers du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
119591 Comment obtenir des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a analysé ce fichier en vue de détecter la présence de virus. Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date de publication de ce fichier. Le fichier est conservé sur des serveurs sécurisés, empêchant toute modification non autorisée du fichier. La version anglaise de ce correctif doit avoir les attributs de fichier suivants ou ceux d'une version ultérieure :
   Date        Version      Taille       Nom de fichier Plate-forme
   -----------------------------------------------------------------
   07/02/02    4.00.9406.0   1 229 312   Msxml4.dll     x86
   07/02/02    4.00.9406.0      44 544   Msxml4a.dll    x86
   07/02/02    4.00.9406.0      82 432   Msxml4r.dll    x86
				

Statut

Microsoft a confirmé que ce problème pouvait entraîner une certaine faille de sécurité dans Microsoft XML 4.0. Ce problème a été corrigé pour la première fois dans le Service Pack 3 Microsoft SQL Server 2000.Ce problème a été corrigé dans le Service Pack 1 Microsoft XML 4.0.

Pour télécharger la dernière version de MSXML, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/downloads/results.aspx?productID=&freetext=msxml&DisplayLang=fr

Plus d'informations

Des versions affectées de MSXML sont livrées en tant qu'éléments de plusieurs produits. Vous devez appliquer le correctif logiciel sur des systèmes équipés d'un des produits Microsoft suivants :
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML peut également être installé séparément. MSXML est installé en tant que DLL dans le sous-dossier System32 du dossier du système d'exploitation Windows. Pour la plupart des systèmes, il s'agit du dossier C:\Windows ou C:\winnt. Si l'un ou l'ensemble des fichiers suivants sont présents dans le dossier System32, vous avez besoin du correctif logiciel :
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Si seul Msxml.dll est présent, le correctif logiciel n'est pas utile car il s'agit d'une version antérieure non affectée.

Important Notez que le programme d'installation de ce correctif ne propose aucune fonctionnalité de désinstallation.

Références

Pour plus d'informations sur ce problème de sécurité, consultez le site Web de Microsoft à l'adresse suivante (en anglais) :
http://www.microsoft.com/technet/security/bulletin/MS02-008.mspx

Propriétés

Numéro d'article: 317244 - Dernière mise à jour: lundi 17 avril 2006 - Version: 7.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft XML Core Services 4.0
Mots-clés : 
kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix KB317244
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com