MS02-008: MSXML 4.0의 XMLHTTP 컨트롤이 로컬 파일에 대한 액세스를 허용할 수 있다

기술 자료 번역 기술 자료 번역
기술 자료: 317244 - 이 문서가 적용되는 제품 보기.
이 문서는 이전에 다음 ID로 출판되었음: KR317244
이 보안 취약점에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
318203 MS02-008: MSXML 3.0의 XMLHTTP 컨트롤이 로컬 파일에 대한 액세스를 허용할 수 있다
318202 MS02-008: MSXML 2.6의 XMLHTTP 컨트롤이 로컬 파일에 대한 액세스를 허용할 수 있다
모두 확대 | 모두 축소

현상

사용자가 특수하게 변형된 웹 사이트를 방문한 경우 공격자는 해당 방문자의 로컬 파일 시스템에 있는 파일을 읽을 수 있는 정보 누출 보안 취약점이 있습니다.

공격자는 파일을 추가, 변경 또는 삭제할 수는 없으며 전자 메일을 사용하여 이 공격을 수행할 수도 없습니다. 이 보안 취약점은 오직 웹 사이트를 통해서만 악용됩니다. 알 수 없거나 신뢰할 수 없는 사이트를 방문하지 않는 등 사이트 탐색에 주의를 기울이는 사용자는 이러한 보안 취약점에 노출될 위험이 적습니다.

원인

이 보안 취약점이 발생하는 이유는 Microsoft XML Core Services의 XMLHTTP 컨트롤이 Internet Explorer 보안 영역 제한을 고려하지 않기 때문입니다. 따라서 웹 페이지는 사용자의 로컬 시스템에 있는 파일을 XML 데이터 원본으로 지정하여 읽을 수 있습니다.

해결 방법

이 문제를 해결하려면 Microsoft SQL Server 2000의 최신 서비스 팩을 구하십시오. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
290211 INF: 최신 SQL Server 2000 서비스 팩 구하기
Microsoft 다운로드 센터에서 다음 파일을 다운로드할 수 있습니다.
그림 축소그림 확대
다운로드
지금 Msxml4qfe.exe 다운로드
릴리스 날짜: 2002년 2월 21일

Microsoft 지원 파일을 다운로드하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
119591 온라인 서비스로부터 Microsoft 지원 파일을 구하는 방법
Microsoft는 파일을 게시한 날짜에 사용할 수 있는 최신의 바이러스 예방 프로그램으로 이 파일을 검사했습니다. 이 파일은 무단으로 변경할 수 없는 보안이 향상된 서버에 보관됩니다. 이 수정 프로그램의 영어 버전은 아래와 같거나 그 이상의 파일 특성을 가집니다.
표 축소표 확대
날짜 버전 크기 파일 이름 플랫폼
2002-02-074.00.9406.01,229,312Msxml4.dllx86
2002-02-074.00.9406.044,544Msxml4a.dllx86
2002-02-074.00.9406.082,432Msxml4r.dllx86

현재 상태

Microsoft는 이 문제로 인해 Microsoft XML 4.0에서 일부 보안 취약점이 발생할 수 있음을 확인했습니다. 이 문제는 Microsoft SQL 2000 서비스 팩 3에서 처음 수정되었습니다.이 문제는 Microsoft XML 4.0 서비스 팩 1에서 수정되었습니다.

최신 버전의 MSXML을 다운로드하려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/downloads/details.aspx?FamilyID=87925008-ec5a-4ff2-a7ef-549ab0394eda&DisplayLang=en

추가 정보

이러한 보안 취약점의 영향을 받는 MSXML의 버전이 일부 제품과 함께 제공됩니다. 다음 Microsoft 제품이 설치된 시스템에는 패치를 적용해야 합니다.
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
또한 MSXML을 별도로 설치할 수 있습니다. MSXML은 Windows 운영 체제 폴더의 System32 하위 폴더에서 DLL로 설치됩니다. 대부분의 시스템에서 운영 체제 폴더 경로는 C:\Windows 또는 C:\winnt입니다. System32 폴더에 다음 파일 중 하나라도 설치되어 있으면 패치를 설치해야 합니다.
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Msxml.dll은 영향을 받지 않는 이전 버전이기 때문에 Msxml.dll만 설치되어 있는 경우에는 패치를 설치할 필요가 없습니다.

중요 이 패치용 핫픽스 설치 관리자에는 제거 기능이 없습니다.

참조

이 취약점에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
http://www.microsoft.com/korea/technet/security/bulletin/MS02-008.asp




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 317244 - 마지막 검토: 2006년 12월 18일 월요일 - 수정: 8.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft XML Core Services 4.0
키워드:?
kbbug kbfix kbwin2000presp3fix kbsqlserv2000presp3fix kbsecvulnerability kbqfe kbie600presp1fix kbwin2000sp3fix kbsecurity kbsecbulletin kbsechack kbsqlserv2000sp3fix kbwinxpsp1fix kbhotfixserver KB317244

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com