MS02-008: Formant XMLHTTP w programie MSXML 4.0 umożliwia dostęp do plików lokalnych

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 317244 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Aby uzyskać dodatkowe informacje na temat tej luki, kliknij numery artykułów poniżej w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
318203 MS02-008: Formant XMLHTTP w MSXML 3.0 może umożliwić dostęp do lokalnych plików
318202 MS02-008: XMLHTTP Control in MSXML 2.0 Can Allow Access to Local Files
Rozwiń wszystko | Zwiń wszystko

Symptomy

Istnieje luka dotycząca ujawniania informacji, która umożliwia atakującemu odczyt plików w lokalnym systemie plików użytkownika, który odwiedzi specjalnie zniekształconą witrynę sieci Web.

Atakujący nie mógłby dodawać, modyfikować ani usuwać plików. Ponadto nie byłby w stanie użyć poczty e-mail do przeprowadzenia tego ataku; ta luka może być wykorzystana jedynie za pomocą witryny sieci Web. Klienci, którzy zachowują ostrożność podczas przeglądania sieci Web i unikają odwiedzania nieznanych lub niezaufanych witryn, są mniej narażeni na ryzyko związane z tą luką.

Przyczyna

Przyczyną tej luki jest formant XMLHTTP w usługach Microsoft XML Core Services, który nie respektuje ograniczeń stref zabezpieczeń programu Internet Explorer. Umożliwia to stronie sieci Web określenie pliku w lokalnym systemie użytkownika jako źródła danych XML, co jest sposobem na odczytanie tego pliku.

Rozwiązanie

Aby rozwiązać ten problem, należy zaopatrzyć się w najnowszy dodatek Service Pack dla programu Microsoft SQL Server 2000. Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
290211 INF: Jak uzyskać najnowszy dodatek Service Pack dla programu SQL Server 2000
Poniższy plik jest udostępniony do pobrania w witrynie Microsoft — Centrum pobierania:
Zwiń ten obrazekRozwiń ten obrazek
Pobierz
Pobierz plik Msxml4qfe.exe teraz
Data wydania: 21 lutego 2002

Aby uzyskać dodatkowe informacje dotyczące sposobu pobierania plików Pomocy technicznej firmy Microsoft, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
119591 Jak uzyskać pliki Pomocy technicznej Microsoft w usługach online
Firma Microsoft przeskanowała ten plik w poszukiwaniu wirusów. Firma Microsoft użyła najnowszego oprogramowania do wykrywania wirusów dostępnego w chwili opublikowania pliku. Plik jest przechowywany na serwerach o podwyższonych zabezpieczeniach, które utrudniają nieautoryzowane zmiany w pliku. Wersja anglojęzyczna tej poprawki powinna mieć następujące atrybuty pliku (lub nowsze):
   Data         Wersja        Rozmiar     Nazwa pliku   Platforma
   --------------------------------------------------------------
   07-lut-2002  4.00.9406.0   1 229 312   Msxml4.dll    x86
   07-lut-2002  4.00.9406.0      44 544   Msxml4a.dll   x86
   07-lut-2002  4.00.9406.0      82 432   Msxml4r.dll   x86
				

Stan

Firma Microsoft potwierdziła, że ten problem może stanowić pewną lukę w zabezpieczeniach programu Microsoft XML 4.0. Ten problem został po raz pierwszy rozwiązany w dodatku Service Pack 3 dla programu Microsoft SQL Server 2000.Ten problem został rozwiązany w dodatku Service Pack 1 dla programu Microsoft XML 4.0.

Aby pobrać najnowszą wersję programu MSXML, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/downloads/details.aspx?FamilyID=87925008-ec5a-4ff2-a7ef-549ab0394eda&DisplayLang=en

Więcej informacji

Zagrożone wersje programu MSXML są dostarczane w ramach kilku produktów. Tę poprawkę należy zastosować do systemów z którymkolwiek z następujących produktów firmy Microsoft:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
Program MSXML można również zainstalować osobno. Program MSXML jest instalowany jako biblioteka DLL w podfolderze System32 folderu systemu operacyjnego Windows. W większości systemów jest to folder C:\Windows lub C:\winnt. Jeśli w folderze System32 znajduje się którykolwiek z następujących plików, zastosowanie poprawki jest konieczne:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Jeśli znajduje się w nim tylko plik Msxml.dll, zastosowanie poprawki nie jest konieczne, ponieważ jest to starsza, niezagrożona wersja.

Ważne: Należy zwrócić uwagę, że Instalator tej poprawki nie ma funkcji dezinstalacji.

Materiały referencyjne

Aby uzyskać więcej informacji na temat tej luki, odwiedź następującą witrynę sieci Web firmy Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-008.mspx

Właściwości

Numer ID artykułu: 317244 - Ostatnia weryfikacja: 18 grudnia 2006 - Weryfikacja: 8.0
Informacje zawarte w tym artykule dotyczą:
  • Microsoft XML Core Services 4.0
Słowa kluczowe: 
kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix KB317244

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com