MS02-008:MSXML 4.0 中的 XMLHTTP 控件允许访问本地文件

文章翻译 文章翻译
文章编号: 317244 - 查看本文应用于的产品
有关此漏洞的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
318203 MS02-008:MSXML 3.0 中的 XMLHTTP 控件允许访问本地文件
318202 MS02-008:MSXML 2.0 中的 XMLHTTP 控件允许访问本地文件
展开全部 | 关闭全部

症状

存在一个信息暴露安全漏洞,在用户访问一个特别构建的别有用心的网站时,此漏洞使攻击者能够读取该用户的本地文件系统上的文件。

攻击者不能添加、更改或删除文件。另外,攻击者不能使用电子邮件执行这种攻击,因为只能通过 Web 站点利用这种安全漏洞。如果客户在浏览时能够做到小心并避免访问未知的或不受信任的站点,就能减少此安全漏洞带来的风险。

原因

存在这种安全漏洞是因为,Microsoft XML 核心服务中的 XMLHTTP 控件没有考虑 Internet Explorer 安全区域的限制。这使得 Web 页能够指定用户本地系统上的某个文件作为一个 XML 数据源,籍此读取该文件。

解决方案

若要解决此问题,请获取最新的 Microsoft SQL Server 2000 Service Pack。有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
290211 INF:如何获取最新的 SQL Server 2000 Service Pack
从 Microsoft 下载中心可以下载以下文件:
收起这个图片展开这个图片
下载
立即下载 Msxml4qfe.exe
发布日期:2002 年 2 月 21 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。 该修复程序的英文版应具有以下或更新的文件属性:
日期         版本         大小        文件名      平台
   -------------------------------------------------------------
07-Feb-2002  4.00.9406.0   1,229,312   Msxml4.dll    x86
07-Feb-2002  4.00.9406.0      44,544   Msxml4a.dll   x86
07-Feb-2002  4.00.9406.0      82,432   Msxml4r.dll   x86
				

状态

Microsoft 已确认此问题可能会在 Microsoft XML 4.0 中造成一定程度的安全漏洞。 从 Microsoft SQL Server 2000 Service Pack 3 开始对此问题进行修复。这个问题已在 Microsoft XML 4.0 Service Pack 1 中得到纠正。

要下载最新版本的 MSXML,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/downloads/details.aspx?FamilyID=87925008-ec5a-4ff2-a7ef-549ab0394eda&DisplayLang=en

更多信息

受影响的 MSXML 版本通常是作为几种产品的一部分提供的。应当对包含以下任何 Microsoft 产品的系统应用此修补程序:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML 也可以独立安装。MSXML 作为一个 DLL 安装在 Windows 操作系统文件夹中的 System32 子文件夹中。在多数系统上,Windows 操作系统文件夹一般是 C:\Windows 或 C:\winnt。如果在 System32 文件夹中具有以下任何或全部文件,则需要此修补程序:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
如果只有 Msxml.dll,则不需要此修补程序,因为这是一个较早的、不受影响的版本。

重要说明:请注意,本修补程序的修复安装程序不具有卸载功能。

参考

有关此漏洞的详细信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/technet/security/bulletin/MS02-008.asp

属性

文章编号: 317244 - 最后修改: 2006年12月18日 - 修订: 8.0
这篇文章中的信息适用于:
  • Microsoft XML Core Services 4.0
关键字:?
kbbug kbfix kbwin2000presp3fix kbsqlserv2000presp3fix kbsecvulnerability kbqfe kbie600presp1fix kbwin2000sp3fix kbsecurity kbsecbulletin kbsechack kbsqlserv2000sp3fix kbwinxpsp1fix kbhotfixserver KB317244
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com