MS02-008: Az MSXML 4.0-s verziójának XMLHTTP-vezérlője lehetővé teheti a helyi fájlokhoz történő hozzáférést

A cikk fordítása A cikk fordítása
Cikk azonosítója: 317244 - A cikkben érintett termékek listájának megtekintése.
Erről a biztonsági résről a Microsoft Tudásbázis következő cikkeiben tájékozódhat:
318203 MS02-008: Az MSXML 3.0-s verziójának XMLHTTP vezérlője lehetővé teheti a helyi fájlokhoz történő hozzáférést
318202 MS02-008: Az MSXML 2.0-s verziójának XMLHTTP vezérlője lehetővé teheti a helyi fájlokhoz történő hozzáférést (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
Az összes kibontása | Az összes összecsukása

A jelenség

A termék biztonsági rése illetéktelen adathozzáférést tehet lehetővé: az esetleges támadó olvashatja azon felhasználók számítógépén tárolt helyi fájlokat, akik meglátogatják a támadó szándékosan hibás oldalakkal működő webhelyét.

A biztonsági rés ellenére a támadó nem adhat hozzá, nem módosíthat és nem törölhet fájlokat, és a támadás e-mailen keresztül sem hajtható végre; kizárólag egy webhely felhasználásával valósítható meg. Kevésbé fenyegeti a támadás veszélye azokat a felhasználókat, akik csak biztonságos és megbízható webhelyeket látogatnak, és kerülik az ismeretlen vagy megbízhatatlan webhelyeket.

Oka

A biztonsági rés oka az, hogy a Microsoft XML Core Services szolgáltatás XMLHTTP vezérlője nem veszi figyelembe az Internet Explorer biztonságizóna-beállításait. Ennek következtében egyes weblapok fájlolvasás céljából XML-adatforrásként jelölhetnek meg fájlokat a felhasználó helyi fájlrendszerében.

A megoldás

A probléma megoldásához szerezze be a Microsoft SQL Server 2000 legújabb javítócsomagját. A Microsoft Tudásbázis kapcsolódó cikke:
290211 Az SQL Server 2000 alkalmazás legújabb szervizcsomagjának beszerzése
A következő fájl letölthető a Microsoft letöltőközpontjából:
A kép összecsukásaA kép kibontása
Letöltés
Az Msxml4qfe.exe csomag letöltése Kiadás dátuma: 2002. február 21.

A Microsoft terméktámogatási fájljainak letöltéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft a kiadás napján rendelkezésre álló legújabb víruskereső szoftverrel ellenőrizte a fájl vírusmentességét. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását. A gyorsjavítás angol nyelvű változata a következő táblázatban található fájlattribútumokkal (vagy újabbakkal) rendelkezik. A fájlok dátuma és időpontja egyezményes világidő (UTC) szerint van megadva. A fájlinformációk megtekintése során a dátumok és időpontok helyi időre konvertálódnak. A helyi idő és az egyezményes idő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.
   Dátum        Verziószám      Méret     Fájlnév       Rendszer
   -------------------------------------------------------------
   2002.02.07.  4.00.9406.0   1 229 312   Msxml4.dll    x86
   2002.02.07.  4.00.9406.0      44 544   Msxml4a.dll   x86
   2002.02.07.  4.00.9406.0      82 432   Msxml4r.dll   x86
				

A frissítés telepítéséhez a Windows Installer 2.0-s vagy újabb verziója szükséges. A Windows Installer 2.0-s vagy újabb verziójának telepítését követően szükség lehet a számítógép újraindítására.

A Windows Installer letöltéséhez keresse fel a Microsoft következő következő webhelyeinek egyikét:

Megjegyzés: A Windows XP rendszert futtató felhasználók kihagyhatják ezt a lépést.
Szabadon terjeszthető Windows Installer 2.0 segédprogram Windows NT 4.0 és 2000 rendszerhez
http://www.microsoft.com/downloads/details.aspx?FamilyID=4b6140f9-2d36-4977-8fa1-6f8a0f5dca8f&DisplayLang=en
Szabadon terjeszthető Windows Installer 2.0 segédprogram Windows 95, 98 és Me rendszerhez
http://www.microsoft.com/downloads/details.aspx?FamilyID=cebbacd8-c094-4255-b702-de3bb768148f%20&displaylang=en

Állapot

A Microsoft megerősítette, hogy ez a probléma bizonyos fokú sebezhetőséget jelent a Microsoft XML 4.0-s verziójában. A problémát először a Microsoft SQL Server 2000 Service Pack 3 szervizcsomagban javította a gyártó.A problémát először a Microsoft XML 4.0 Service Pack 1 szervizcsomagban javította a gyártó.
Az MSXML legfrissebb verziójának letöltéséhez látogassa meg a Microsoft alábbi webhelyét:
http://www.microsoft.com/downloads/details.aspx?FamilyID=87925008-ec5a-4ff2-a7ef-549ab0394eda&DisplayLang=en

További információ

Az MSXML szolgáltatás érintett verziói számos más termék részeként kerülnek a felhasználókhoz, ezért a javítást a következő Microsoft-termékek bármelyikét futtató valamennyi rendszerre telepíteni kell:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
Az MSXML szolgáltatás önállóan is telepíthető, a program ekkor DLL-fájlként telepíti az összetevőt a Windows rendszer mappájának (a legtöbb esetben ez a C:\Windows vagy a C:\winnt mappa) System32 almappájába. Amennyiben a System32 mappában a következő fájlok valamelyike vagy mindegyike megtalálható, telepítse a javítást:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Nem szükséges telepíteni a javítást akkor, ha a mappában csak az Msxml.dll nevű fájlt találja, mert ez egy korábbi verziójú fájl, amelyet nem érint a probléma.

Fontos: A javítás telepítőprogramja nem rendelkezik eltávolítási funkcióval.

Hivatkozások

Erről a biztonsági résről a Microsoft alábbi webhelyén tájékozódhat:
http://www.microsoft.com/technet/security/bulletin/MS02-008.mspx

Tulajdonságok

Cikk azonosítója: 317244 - Utolsó ellenőrzés: 2007. április 18. - Verziószám: 12.0
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft XML Core Services 4.0
Kulcsszavak: 
kbbug kbfix kbwin2000presp3fix kbsqlserv2000presp3fix kbsecvulnerability kbqfe kbie600presp1fix kbwin2000sp3fix kbsecurity kbie600sp1fix kbsecbulletin kbsechack kbsqlserv2000sp3fix kbwinxpsp1fix KB317244
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com