MS02-008: XMLHTTP-kontroll i MSXML 4.0 kan ge åtkomst till lokala filer

Artikelöversättning Artikelöversättning
Artikel-id: 317244 - Visa produkter som artikeln gäller.
Om du vill veta mer om det här säkerhetsproblemet klickar du på följande artikelnummer och läser artiklarna i Microsoft Knowledge Base:
318203 MS02-008: XMLHTTP-kontroll i MSXML 3.0 ger tillgång till lokala filer
318202 MS02-008: XMLHTTP-kontroll i MSXML 2.0 kan ge åtkomst till lokala filer (Länken kan leda till en webbplats som är helt eller delvis på engelska)
Visa alla | Dölj alla

Symptom

Programmet har ett säkerhetsproblem som kan ge en angripare behörighet att läsa filer i det lokala filsystemet på en dator som används för att besöka vissa webbplatser.

Angriparen kan inte ändra, ta bort eller skapa nya filer. Dessutom kan angreppet inte ske via e-post. Säkerhetsproblemet kan endast utnyttjas via en webbplats. Användare som undviker okända webbplatser eller webbplatser som verkar misstänkta löper mindre risk att utsättas för detta angrepp.

Orsak

Säkerhetsproblemet beror på att säkerhetsinställningarna för zoner i Internet Explorer inte används i XMLHTTP-kontrollen i Microsoft XML Core Services. Detta medför att en webbsida kan använda en lokal fil som XML-datakälla, och därigenom läsa filen.

Lösning

Lös problemet genom att skaffa den senaste Service Pack-uppdateringen för Microsoft SQL Server 2000. Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
290211 Hur du hämtar senaste Service Pack för SQL Server 2000 (Länken kan leda till en webbplats som är helt eller delvis på engelska)
Följande fil kan hämtas från Microsoft Download Center:
Dölj bildenVisa bilden
Hämta
Hämta paketet Msxml4qfe.exe nu. Utgivningsdatum: 21 februari 2002

Om du vill veta mer om hur du hämtar supportfiler från Microsoft klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
119591 Hämta Microsoft-supportfiler från Onlinetjänster
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den. Den engelska versionen av den här snabbkorrigeringen har filattributen som visas i följande tabell (eller senare). Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). Innan du läser filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid på fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.
   Datum       Version         Storlek     Filnamn     Plattform
   -------------------------------------------------------------
   07-feb-2002  4.00.9406.0   1 229 312   Msxml4.dll    x86
   07-feb-2002  4.00.9406.0      44 544   Msxml4a.dll   x86
   07-feb-2002  4.00.9406.0      82 432   Msxml4r.dll   x86
				

Windows Installer 2.0 eller senare krävs för installation av den här korrigeringsfilen. Du måste kanske starta om datorn efter installation av Windows Installer 2.0 eller en senare version av Windows Installer.

Hämta Windows Installer på någon av följande Microsoft-webbplatser:

Obs! Användare av Windows XP kan hoppa över det här steget.
Windows Installer 2.0 för Windows NT 4.0 och 2000
http://www.microsoft.com/downloads/details.aspx?FamilyID=4b6140f9-2d36-4977-8fa1-6f8a0f5dca8f&DisplayLang=en
Windows Installer 2.0 för Windows 95, 98 och ME
http://www.microsoft.com/downloads/details.aspx?FamilyID=cebbacd8-c094-4255-b702-de3bb768148f%20&displaylang=en

Status

Microsoft har bekräftat att detta är ett säkerhetsproblem i Microsoft XML 4.0. Detta problem korrigerades först i Microsoft SQL Server 2000 Service Pack 3.Problemet har korrigerats i Microsoft XML 4.0 Service Pack 1.
Den senaste versionen av MSXML finns på följande Microsoft-webbplats:
http://www.microsoft.com/downloads/details.aspx?FamilyID=87925008-ec5a-4ff2-a7ef-549ab0394eda&DisplayLang=en

Mer Information

De versioner av MSXML som påverkas av problemet ingår i flera olika produkter. Du bör installera korrigeringen om du använder någon av följande Microsoft-produkter:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML kan även installeras separat. MSXML installeras som en DLL-fil i mappen System32 i operativsystemsmappen för Windows. På de flesta datorer är operativsystemsmappen C:\Windows eller C:\Winnt. Om någon av följande filer finns i mappen System32 behöver du installera korrigeringen:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Om du endast har filen Msxml.dll behöver du inte korrigeringen, eftersom problemet inte finns i denna version av komponenten.

Viktigt! Installationsprogrammet för korrigeringen har inte någon avinstallationsfunktion.

Referenser

Mer information om detta säkerhetsproblem finns på följande Microsoft-webbplats:
http://www.microsoft.com/technet/security/bulletin/MS02-008.mspx

Egenskaper

Artikel-id: 317244 - Senaste granskning: den 20 mars 2007 - Revision: 12.0
Informationen i denna artikel gäller:
  • Microsoft XML Core Services 4.0
Nyckelord: 
kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbie600sp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix kbie600sp1fix KB317244

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com