MS02-008: Besturingselement XMLHTTP in MSXML 4.0 kan toegang tot lokale bestanden verschaffen

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 317244 - Bekijk de producten waarop dit artikel van toepassing is.
Voor meer informatie over dit beveiligingslek klikt u op de volgende artikelnummers in de Microsoft Knowledge Base:
318203 MS02-008: Besturingselement XMLHTTP in MSXML 3.0 kan toegang tot lokale bestanden verschaffen
318202 MS02-008: XMLHTTP Control in MSXML 2.0 Can Allow Access to Local Files
Alles uitklappen | Alles samenvouwen

Symptomen

Er is sprake van een beveiligingslek bij het vrijgeven van informatie waardoor een aanvaller bestanden kan lezen op het lokale bestandssysteem van een gebruiker die een gemanipuleerde website bezoekt.

De aanvaller kan geen bestanden toevoegen, wijzigen of verwijderen. Bovendien kan de aanvaller geen e-mail gebruiken om de aanval uit te voeren. Het beveiligingslek kan alleen worden misbruikt via een website. Klanten die voorzichtig zijn en geen onbekende of onbetrouwbare websites bezoeken, lopen minder risico met dit beveiligingslek.

Oorzaak

Het beveiligingsprobleem doet zich voor omdat het besturingselement XMLHTTP in de Microsoft XML Core Services de beperkingen in de beveiligingszones van Internet Explorer negeert. Hierdoor kan een bestand op het lokale systeem van een gebruiker worden gespecificeerd als een XML-gegevensbron zodat het bestand kan worden gelezen.

Oplossing

U lost dit probleem op door het meest recente service pack voor Microsoft SQL Server 2000 op te halen. Voor meer informatie klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
290211 INF: How to Obtain the Latest SQL Server 2000 Service Pack
U kunt het volgende bestand downloaden van het Microsoft Downloadcentrum:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Msxml4qfe.exe nu downloaden
Releasedatum: 21.02.02

Als u meer informatie wilt over het downloaden van Microsoft-ondersteuningsbestanden, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft heeft dit bestand op virussen gecontroleerd. Hiervoor is de meest actuele software voor virusdetectie gebruikt die beschikbaar was op de datum dat het bestand werd gepubliceerd. Het bestand is ondergebracht op beveiligde servers die onbevoegde wijzigingen aan het bestand helpen verhinderen. De Engelse versie van deze correctie moet de volgende (of latere) bestandskenmerken hebben:
   Datum        Versie        Grootte     Bestandsnaam  Platform
   -------------------------------------------------------------
   07-feb-2002  4.00.9406.0   1.229.312   Msxml4.dll    x86
   07-feb-2002  4.00.9406.0      44.544   Msxml4a.dll   x86
   07-feb-2002  4.00.9406.0      82.432   Msxml4r.dll   x86
				

Status

Microsoft heeft bevestigd dat dit probleem de beveiliging van Microsoft XML 4.0 kan verminderen. In Service Pack 3 voor Microsoft SQL Server 2000 werd voor het eerst een correctie aangebracht voor dit probleem.Dit probleem is opgelost in Microsoft XML 4.0 Service Pack 1.

Als u de meest recente versie van MSXML wilt downloaden, gaat u naar de volgende Microsoft-website:
http://www.microsoft.com/downloads/details.aspx?FamilyID=87925008-ec5a-4ff2-a7ef-549ab0394eda&DisplayLang=en

Meer informatie

Verschillende producten bevatten kwetsbare versies van MSXML. U moet de patch toepassen op systemen met een van de volgende Microsoft-producten:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML kan ook afzonderlijk worden geïnstalleerd. MSXML wordt geïnstalleerd als een DLL in de submap System32 van de map met het Windows-besturingssysteem. Op de meeste systemen is dat C:\Windows of C:\winnt. U hebt de patch nodig als een of meer van de volgende bestanden zich in de map System32 bevindt:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Als u alleen over Msxml.dll beschikt, hebt u de patch niet nodig aangezien dit een eerdere, niet-kwetsbare versie is.

Belangrijk Het hotfix-installatieprogramma voor deze patch beschikt niet over een functie voor verwijderen.

Referenties

Als u meer informatie wilt over deze zwakke plek, gaat u naar de volgende Microsoft-website:
http://www.microsoft.com/technet/security/bulletin/MS02-008.asp

Eigenschappen

Artikel ID: 317244 - Laatste beoordeling: maandag 18 december 2006 - Wijziging: 8.0
De informatie in dit artikel is van toepassing op:
  • Microsoft XML Core Services 4.0
Trefwoorden: 
kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbie600sp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix kbie600sp1fix KB317244

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com