文書番号: 317244 - 最終更新日: 2006年4月17日 - リビジョン: 7.1

[MS02-008] MSXML 4.0 の XMLHTTP コントロールにより、ローカル ファイルにアクセスすることができる

対象製品
お知らせお使いのオペレーティング システムには適用しない情報が含まれている場合があります。
この記事は、以前は次の ID で公開されていました: JP317244
この脆弱性の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
318203? (http://support.microsoft.com/kb/318203/EN-US/ ) MS02-008: XMLHTTP Control in MSXML 3.0 Can Allow Access to Local Files
先頭へ戻る
318203? (http://support.microsoft.com/kb/318203/JA/ ) [MS02-008] MSXML 3.0 のXMLHTTP コントロールにより、ローカル ファイルにアクセスすることができる
先頭へ戻る
318202? (http://support.microsoft.com/kb/318202/EN-US/ ) MS02-008: XMLHTTP Control in MSXML 2.6 Can Allow Access to Local Files
先頭へ戻る
318202? (http://support.microsoft.com/kb/318202/JA/ ) [MS02-008] MSXML 2.6 のXMLHTTP コントロールにより、ローカル ファイルにアクセスすることができる
すべて展開する | すべて折りたたむ

現象

特殊な改ざんが施された Web サイトを参照すると、ユーザーのローカル ファイル システム上のファイルが攻撃者によって読み取られる可能性があるという情報漏えいの脆弱性が存在します。

攻撃者は、この脆弱性を悪用してファイルの追加、変更、および削除を行うことはできません。また、電子メールを使用して攻撃を実行することはできず、この脆弱性を悪用できるのは Web サイト経由にのみ限られます。インターネットを参照するときに常に警戒を怠らず、不明なサイトや信頼できないサイトを参照しないように気をつけているユーザーは、この脆弱性による危険性が減少します。
先頭へ戻る

原因

Microsoft XML Core Services に含まれる XMLHTTP コントロールは、Internet Explorer のセキュリティ ゾーンの制限に従いません。このため、Web ページでユーザーのローカル システム上のファイルを XML データ ソースとして指定することでファイルの読み込みが可能になります。
先頭へ戻る

解決方法

この問題を解決するには、Microsoft SQL Server 2000 の最新の Service Pack を入手します。関連情報を参照するには、次の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
290211? (http://support.microsoft.com/kb/290211/EN-US/ ) INF: How to Obtain the Latest SQL Server 2000 Service Pack
先頭へ戻る
290211? (http://support.microsoft.com/kb/290211/JA/ ) [INF] 最新の SQL Server 2000 Service Pack の入手方法
先頭へ戻る
下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
元に戻す画像を拡大する
ダウンロード
Msxml4qfe.exe (http://www.microsoft.com/windows/ie/downloads/critical/q317244/download.asp)
リリース日 : 2002 年 2 月 21 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591? (http://support.microsoft.com/kb/119591/EN-US/ ) How to Obtain Microsoft Support Files from Online Services
先頭へ戻る
119591? (http://support.microsoft.com/kb/119591/JA/ ) オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
先頭へ戻る
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。 修正プログラム (日本語版) の属性は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。 
   日付           バージョン     サイズ    ファイル名    プラットフォーム
   -------------------------------------------------------------
   2002/01/07   8.2.8307.0  689,424  Msxml2.dll    x86

先頭へ戻る

状況

マイクロソフトでは、この問題により Microsoft XML 4.0 のセキュリティにある程度の脆弱性が生じる可能性があることを認識しています。 この問題は Microsoft SQL Server 2000 Service Pack 3 で修正済みです。 この問題は Microsoft XML 4.0 Service Pack 1 で修正済みです。

最新版の MSXML をダウンロードするには、次のマイクロソフト Web サイトにアクセスしてください。
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=3144B72B-B4F2-46DA-B4B6-C5D7485F2B42 (http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=3144B72B-B4F2-46DA-B4B6-C5D7485F2B42)
先頭へ戻る

詳細

この脆弱性の影響を受ける MSXML のバージョンは多くの製品に含まれています。以下のいずれかのマイクロソフト製品を使用している場合は、システムに更新プログラムを適用する必要があります。
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
また、MSXML を個別にインストールすることもできます。MSXML は Windows の System フォルダ内の System32 サブフォルダに DLL としてインストールされます。ほとんどの場合、C:\Windows または C:\winnt の下にあります。System32 フォルダに以下のいずれかのファイルがある場合は、更新プログラムを適用する必要があります。
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Msxml.dll のみがある場合は、この脆弱性の影響を受けることのない以前のバージョンであるため、更新プログラムを適用する必要はありません。

重要 : この更新プログラム用のインストーラには、アンインストール機能がないことに注意してください。
先頭へ戻る

関連情報

この脆弱性の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/bulletin/MS02-008.mspx (http://www.microsoft.com/japan/technet/security/bulletin/MS02-008.mspx)
先頭へ戻る

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 317244? (http://support.microsoft.com/kb/317244/EN-US/ ) (最終更新日 2004-02-18) を基に作成したものです。
先頭へ戻る
この資料は以下の製品について記述したものです。
  • Microsoft XML Core Services 4.0
先頭へ戻る
キーワード:?
kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix KB317244
先頭へ戻る
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"