MS02-008: Элемент управления XMLHTTP в MSXML 4.0 позволяет получить доступ к локальным файлам

Переводы статьи Переводы статьи
Код статьи: 317244 - Vizualiza?i produsele pentru care se aplic? acest articol.
Дополнительные сведения об этой уязвимости см. в следующих статьях базы знаний Майкрософт:
318203 MS02-008: Элемент управления XMLHTTP в MSXML 3.0 позволяет получить доступ к локальным файлам
318202 MS02-008: Элемент управления XMLHTTP в MSXML 2.0 позволяет получить доступ к локальным файлам
Развернуть все | Свернуть все

Проблема

Существующая уязвимость позволяет злоумышленнику просматривать файлы в локальной системе в то время, когда пользователь находится на специально разработанном веб-узле.

Злоумышленник не имеет возможности добавлять, изменять или удалять файлы. Уязвимость не может быть использована с помощью сообщения электронной почты — пользователь обязательно должен посетить специальный веб-узел. Соблюдая осторожность во время работы в Интернете, не посещая неизвестных и не заслуживающих доверия веб-узлов, риск подвергнуться такой атаке можно существенно снизить.

Причина

В основе уязвимости лежит несоблюдение элементом управления XMLHTTP из состава Microsoft XML Core Services ограничений, которые действуют в зонах безопасности Internet Explorer. Это позволяет веб-странице указать файл в локальной системе в качестве источника данных XML и, таким образом, получить возможность его просмотра.

Решение

Для решения этой проблемы необходимо установить последний пакет обновления для Microsoft SQL Server 2000. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
290211 INF: Как получить последний пакет обновления для SQL Server 2000
Загрузите следующий файл с веб-узла центра загрузки корпорации Майкрософт:
Свернуть это изображениеРазвернуть это изображение
Загрузка
Загрузить файл Msxml4qfe.exe
Дата выпуска: 21 февраля 2002 г.

Дополнительные сведения о загрузке файлов с узла технической поддержки корпорации Майкрософт см. в следующей статье базы знаний Майкрософт:
119591 Как загрузить файлы поддержки Майкрософт из Интернета
Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение. Английская версия исправления содержит версии файлов, приведенные в следующей таблице, или более поздние.
   Дата         Версия           Размер   Имя файла     Платформа
   -------------------------------------------------------------
   07-фев-2002  4.00.9406.0   1 229 312   Msxml4.dll    x86
   07-фев-2002  4.00.9406.0      44 544   Msxml4a.dll   x86
   07-фев-2002  4.00.9406.0      82 432   Msxml4r.dll   x86
				

Статус

Корпорация Майкрософт подтверждает, что эта проблема может послужить причиной повышения уязвимости системы безопасности Microsoft XML 4.0. Впервые ошибка была исправлена в пакете обновления 3 (SP3) для SQL Server 2000.Исправление этой проблемы вошло в состав пакета обновления 1 (SP1) для Microsoft XML 4.0.

Для получения последней версии модуля MSXML обратитесь на веб-узел корпорации Майкрософт по следующему адресу:
http://www.microsoft.com/downloads/details.aspx?FamilyID=87925008-ec5a-4ff2-a7ef-549ab0394eda&DisplayLang=en

Дополнительная информация

Подверженные воздействию уязвимости версии модуля MSXML входят в состав нескольких продуктов. Установить обновление необходимо в каждой системе, где используется любой из перечисленных ниже продуктов.
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
Кроме того, модуль MSXML может быть установлен отдельно в качестве библиотеки DLL в папке %Windows%\System32 (как правило, C:\Windows или C:\winnt). Установите обновление, если в папке System32 имеется хотя бы один из перечисленных ниже файлов.
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Устанавливать обновление для файла Msxml.dll не нужно, поскольку эта версия воздействию уязвимости не подвержена.

Внимание! Программа установки обновления не поддерживает функций удаления.

Ссылки

Дополнительные сведения о данной уязвимости см. на веб-узле корпорации Майкрософт по следующему адресу:
http://www.microsoft.com/technet/security/bulletin/MS02-008.asp

Свойства

Код статьи: 317244 - Последний отзыв: 18 декабря 2006 г. - Revision: 8.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft XML Core Services 4.0
Ключевые слова: 
kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix KB317244

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com