MS02-008: MSXML 4.0'daki XMLHTTP denetimleri yerel dosyalara erişime izin verebilir

Makale çevirileri Makale çevirileri
Makale numarası: 317244 - Bu makalenin geçerli olduğu ürünleri görün.
Bu güvenlik açığı hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
318203 MS02-008: MSXML 3.0'daki XMLHTTP Denetimi Yerel Dosyalara Erişime İzin Verebilir
318202 MS02-008: MSXML 2.0'daki XMLHTTP denetimleri yerel dosyalara erişime izin verebilir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)
Hepsini aç | Hepsini kapa

Belirtiler

Bir saldırganın, özel olarak hatalı biçimlendirilmiş bir Web sitesini ziyaret eden bir kullanıcının yerel dosya sistemindeki dosyaları okumasına olanak sağlayan bir bilginin açığa çıkması güvenlik açığı bulunmaktadır.

Saldırgan, dosya ekleyemez, değiştiremez ve silemez. Ayrıca saldırgan, bu saldırıyı gerçekleştirmek için e-posta kullanamaz; güvenlik açığından yalnızca bir Web sitesi aracılığıyla yararlanılabilir. Gezerken dikkatli olan ve bilinmeyen veya güvenilmeyen siteleri ziyaret etmekten kaçınan müşterilerimiz bu güvenlik açığından daha az etkilenir.

Neden

Güvenlik açığı, Microsoft XML Çekirdek Hizmetleri'ndeki XMLHTTP denetiminin Internet Explorer Güvenlik Bölgesi kısıtlamalarına uygun davranmaması nedeniyle oluşur. Bu, bir Web sayfasının kullanıcının yerel sistemindeki bir dosyayı okumak için dosyayı bir XML veri kaynağı olarak belirtmesine olanak sağlar.

€”zm

Bu sorunu gidermek için, en son Microsoft SQL Server 2000 hizmet paketini edinin. Ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
290211 En son SQL Server 2000 hizmet paketi nasıl elde edilir
Aşağıdaki dosya Microsoft Yükleme Merkezi'nden yüklenebilir:
Bu resmi kapatBu resmi aç
Karşıdan Yükle
Msxml4qfe.exe paketini şimdi karşıdan yükle. Yayın Tarihi: 21 Şubat 2002

Microsoft Destek dosyalarını karşıdan yükleme hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
119591 Microsoft Destek Dosyaları Çevrimiçi Hizmetler'den Nasıl Alınır
Microsoft bu dosyada virüs taraması yapmıştır. Microsoft, dosyanın kullanıma sunulduğu tarihteki en güncel virüs tarama yazılımını kullanmıştır. Dosya, üzerinde herhangi bir yetkisiz değişiklik yapılmasını engellemeye yardım eden geliştirilmiş güvenliğe sahip sunucularda depolanır. Bu düzeltmenin İngilizce sürümü, aşağıdaki tabloda listelenen dosya özniteliklerine (veya daha yeni dosya öznitelikleri) sahiptir. Bu dosyalarla ilgili tarihler ve saatler UTC (eşgüdümlü evrensel saat) kullanılarak listelenmiştir. Dosya bilgilerini görüntülediğinizde yerel saate dönüştürülür. UTC ve yerel saat arasındaki farkı bulmak için, Denetim Masası'ndaki Tarih ve Saat aracında Saat Dilimi sekmesini kullanın.
   Tarih        Sürüm         Boyut       Dosya adı     Platform
   -------------------------------------------------------------
   07 Şub 2002  4.00.9406.0   1.229.312   Msxml4.dll    x86
   07 Şub 2002  4.00.9406.0      44.544   Msxml4a.dll   x86
   07 Şub 2002  4.00.9406.0      82.432   Msxml4r.dll   x86
				

Bu düzeltmenin yüklenebilmesi için Windows Installer 2.0 veya sonraki bir sürümü gerekir. Windows Installer 2.0'ı veya Windows Installer'ın sonraki bir sürümünü yükledikten sonra bilgisayarınızı yeniden başlatmanız gerekebilir.

Windows Installer'ı karşıdan yüklemek için, aşağıdaki Microsoft Web sitelerinden birini ziyaret edin:

Not Windows XP kullanıcıları bu adımı atlayabilir.
Windows NT 4.0 ve 2000 için Yeniden Dağıtılabilen Windows Installer 2.0
http://www.microsoft.com/downloads/details.aspx?FamilyID=4b6140f9-2d36-4977-8fa1-6f8a0f5dca8f&DisplayLang=en
Windows 95, 98 ve Me için Yeniden Dağıtılabilen Windows Installer 2.0
http://www.microsoft.com/downloads/details.aspx?FamilyID=cebbacd8-c094-4255-b702-de3bb768148f%20&displaylang=en

Durum

Microsoft, bu sorunun Microsoft XML 4.0'da bir ölçüde güvenlik açığına neden olabileceğini onaylamıştır. Bu sorun ilk olarak Microsoft SQL Server 2000 Service Pack 3'te giderilmiştir.Bu sorun Microsoft XML 4.0 Service Pack 1'de giderilmiştir.
MSXML'nin en son sürümünü karşıdan yüklemek için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/downloads/details.aspx?FamilyID=87925008-ec5a-4ff2-a7ef-549ab0394eda&DisplayLang=en

Daha fazla bilgi

MSXML'nin etkilenen sürümleri birkaç ürünün parçası olarak gelir. Düzeltme ekini, aşağıdaki Microsoft ürünlerinden biri bulunan sistemlere uygulamanız gerekir:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML ayrı olarak da yüklenebilir. MSXML, Windows işletim sistemi klasörünün System32 alt klasörüne bir DLL dosyası olarak yüklenir. Çoğu sistemde bu C:\Windows veya C:\winnt klasörü olacaktır. System32 klasöründe aşağıdaki dosyalardan biri veya tümü varsa düzeltme ekini uygulamalısınız:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Yalnızca Msxml.dll dosyası varsa, daha eski ve etkilenmeyen bir sürüm olduğu için düzeltme ekini uygulamanız gerekmez.

Önemli Bu düzeltme ekinin yükleyicisinde kaldırma özelliği yoktur.

Referanslar

Bu güvenlik açığı hakkında daha fazla bilgi için, aşağıdaki Microsoft Web sitesine bakın:
http://www.microsoft.com/technet/security/bulletin/MS02-008.mspx

Özellikler

Makale numarası: 317244 - Last Review: 21 Şubat 2007 Çarşamba - Gözden geçirme: 12.0
Bu makaledeki bilginin uygulandigi durum:
  • Microsoft XML Core Services 4.0
Anahtar Kelimeler: 
kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbie600sp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix kbie600sp1fix KB317244

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com