MS02-008: Il controllo XMLHTTP in MSXML 4.0 pu˛ consentire l'accesso ai file locali

Traduzione articoli Traduzione articoli
Identificativo articolo: 317244 - Visualizza i prodotti a cui si riferisce l?articolo.
Questo articolo Ŕ stato precedentemente pubblicato con il codice di riferimento I317244
Per ulteriori informazioni su questo problema di protezione, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
318203 MS02-008: Il controllo XMLHTTP in MSXML 3.0 pu˛ consentire l'accesso a file locali
318202 MS02-008: Il controllo XMLHTTP in MSXML 2.6 pu˛ consentire l'accesso ai file locali
Espandi tutto | Chiudi tutto

Sintomi

Esiste un problema di protezione relativo alla divulgazione di informazioni che potrebbe consentire a un utente malintenzionato di leggere il contenuto del file system locale di un utente che sta visitando un sito Web intenzionalmente modificato a tale scopo.

L'utente malintenzionato non sarÓ tuttavia in grado di aggiungere, modificare o eliminare file nel computer locale della vittima nÚ sarÓ in grado di utilizzare la posta elettronica per sferrare tale attacco. Il problema di protezione in questione pu˛ infatti essere sfruttato solo tramite un sito Web. Gli utenti particolarmente attenti durante l'esplorazione del Web, che evitano di visitare siti sconosciuti o non attendibili, sono naturalmente meno esposti ai rischi di questo tipo di problema di protezione.

Cause

Questo problema si verifica in quanto il controllo XMLHTTP contenuto nei servizi di base di Microsoft XML non rispetta le impostazioni delle aree di protezione di Internet Explorer. Ci˛ consente di specificare in una pagina Web come origine dati XML un file nel sistema locale di un utente al fine di accedervi in lettura.

Risoluzione

Per risolvere questo problema Ŕ necessario ottenere la versione pi¨ recente del service pack per Microsoft SQL Server 2000. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
290211 INF: Come ottenere il pi¨ recente Service Pack per SQL Server 2000
Il seguente file Ŕ disponibile per il download dall'Area download Microsoft:
Download del file Msxml4qfe.exe
Data di rilascio: 21 febbraio 2002

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file Ŕ stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus pi¨ recente disponibile al momento della data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate. La versione in lingua inglese di questa correzione deve avere i seguenti attributi di file (o successivi):
   Data         Versione       Dimensione   Nome file     Piattaforma
   ------------------------------------------------------------------
   07/02/2002   4.000.9406.0   1.229.312    Msxml4.dll    x86
   07/02/2002   4.000.9406.0      44.544    Msxml4a.dll   x86
   07/02/2002   4.000.9406.0      82.432    Msxml4r.dll   x86

Status

Microsoft ha confermato che questo problema potrebbe comportare rischi di protezione in Microsoft XML 4.0. Il problema Ŕ stato corretto per la prima volta nel Service Pack 3 per Microsoft SQL Server 2000.Questo problema Ŕ stato corretto nel Service Pack 1 per Microsoft XML 4.0.

Per scaricare la versione pi¨ recente di MSXML, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/downloads/details.aspx?FamilyID=87925008-ec5a-4ff2-a7ef-549ab0394eda&DisplayLang=en

Informazioni

Questo problema interessa varie versioni di MSXML fornite con prodotti diversi. Si consiglia di installare questa patch nei sistemi in cui sono in uso i seguenti prodotti Microsoft:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML pu˛ essere installato anche separatamente. L'installazione di MSXML avviene come DLL nella sottocartella System32 della cartella del sistema operativo Windows. Nella maggior parte dei sistemi tale cartella sarÓ C:\Windows o C:\winnt. Installare la patch se nella cartella System32 sono presenti uno o pi¨ dei seguenti file:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Se nella cartella Ŕ presente solo il file Msxml.dll, non sarÓ necessario installare la patch, in quanto si tratta di una versione precedente non interessata dal problema in questione.

Importante Il programma di installazione dell'aggiornamento rapido per questa patch non prevede una funzione di disinstallazione.

Riferimenti

Per ulteriori informazioni su questo problema di protezione, vedere il seguente Bollettino Microsoft sulla sicurezza (informazioni in lingua inglese):
http://www.microsoft.com/technet/security/bulletin/MS02-008.mspx

ProprietÓ

Identificativo articolo: 317244 - Ultima modifica: lunedý 18 dicembre 2006 - Revisione: 8.0
Le informazioni in questo articolo si applicano a
  • Microsoft XML Core Services 4.0
Chiavi:á
kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix KB317244
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com