MS02-008: O controlo XMLHTTP do MSXML 4.0 pode permitir o acesso a ficheiros locais

Traduções de Artigos Traduções de Artigos
Artigo: 317244 - Ver produtos para os quais este artigo se aplica.
Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).

Para obter informações adicionais sobre esta vulnerabilidade, clique nos números de artigo existentes abaixo para visualizar os artigos na base de dados de conhecimentos da Microsoft (KB, Microsoft Knowledge Base):
318203 MS02-008: O controlo XMLHTTP do MSXML 3.0 pode permitir o acesso a ficheiros locais
318202 MS02-008: XMLHTTP Control in MSXML 2.0 Can Allow Access to Local Files
Expandir tudo | Reduzir tudo

Sintomas

Existe uma vulnerabilidade de divulgação de informações que pode permitir que um atacante leia ficheiros existentes no sistema de ficheiros local de um utilizador que visite um Web site especificamente mal formado.

O atacante não poderá adicionar, alterar ou eliminar ficheiros. Para além disso, o atacante não poderá utilizar o correio electrónico para levar a cabo este ataque; a vulnerabilidade só pode ser explorada por intermédio de um Web site. Os clientes que tenham cuidado na navegação na Internet e que evitem visitar sites desconhecidos ou não fidedignos correm menos riscos associados a esta vulnerabilidade.

Causa

A vulnerabilidade existe porque o controlo XMLHTTP dos Microsoft XML Core Services não respeita as restrições de zona de segurança do Internet Explorer. Isto permite que uma página Web especifique um ficheiro no sistema de ficheiros local do utilizador como uma origem de dados XML como meio de leitura do ficheiro.

Resolução

Para resolver este problema, obtenha o Service Pack mais recente do Microsoft SQL Server 2000. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
290211 INF: How to Obtain the Latest SQL Server 2000 Service Pack
O ficheiro que se segue está disponível para transferência a partir do centro de transferências da Microsoft:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir Msxml4qfe.exe agora
Data de edição: 21 de Fevereiro de 2002

Para obter informações adicionais sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
119591 Como obter ficheiros de suporte da Microsoft a partir de serviços online
A Microsoft procedeu à detecção de vírus neste ficheiro. A Microsoft utilizou o software de detecção de vírus mais actual disponível na data em que o ficheiro foi publicado. O ficheiro está armazenado em servidores com segurança melhorada, que ajudam a impedir quaisquer alterações não autorizadas ao ficheiro. A versão inglesa desta correcção deverá ter os seguintes atributos de ficheiro ou posteriores:
   Data         Versão        Tamanho     Nome fich. Plataforma
   -------------------------------------------------------------
   07-Feb-2002  4.00.9406.0   1,229,312   Msxml4.dll    x86
   07-Feb-2002  4.00.9406.0      44,544   Msxml4a.dll   x86
   07-Feb-2002  4.00.9406.0      82,432   Msxml4r.dll   x86
				

Ponto Da Situação

A Microsoft confirmou que este problema poderá provocar um certo grau de vulnerabilidade na segurança do Microsoft XML 4.0. Este problema foi corrigido pela primeira vez no Microsoft SQL Server 2000 Service Pack 3.Este problema foi corrigido pela primeira vez no Microsoft XML 4.0 Service Pack 1.

Para transferir a versão mais recente do MSXML, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=87925008-ec5a-4ff2-a7ef-549ab0394eda&DisplayLang=en

Mais Informação

As versões afectadas do MSXML são fornecidas integradas em vários produtos. Deve aplicar o patch aos sistemas com qualquer um dos seguintes produtos da Microsoft:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
O MSXML também pode ser instalado separadamente. O MSXML é instalado como uma DLL na subpasta System32 da pasta do sistema operativo Windows. Na maior parte dos sistemas, trata-se da pasta C:\Windows ou C:\winnt. Se tiver qualquer um dos seguintes ficheiros na pasta System32, necessita do patch:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Se só tiver o ficheiro Msxml.dll, não necessita do patch porque se trata de uma versão anterior e não afectada.

Importante Note que o programa de instalação deste patch não possui uma funcionalidade de desinstalação.

Referências

Para obter mais informações sobre esta vulnerabilidade, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-008.asp

Propriedades

Artigo: 317244 - Última revisão: 18 de dezembro de 2006 - Revisão: 8.0
A informação contida neste artigo aplica-se a:
  • Microsoft XML Core Services 4.0
Palavras-chave: 
kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix KB317244

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com