MS02-008:MSXML 4.0 中的 XMLHTTP 控制項可允許存取本機檔案

文章翻譯 文章翻譯
文章編號: 317244 - 檢視此文章適用的產品。
如需其他有關此弱點的資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
318203 MS02-008:XMLHTTP Control in MSXML 3.0 Can Allow Access to Local Files
318202 MS02-008:XMLHTTP Control in MSXML 2.0 Can Allow Access to Local Files
全部展開 | 全部摺疊

徵狀

一個存在的資訊外洩弱點,可能允許攻擊者讀取曾造訪錯誤網站的使用者位於本機檔案系統上的檔案。

攻擊者不能新增、變更或刪除檔案。此外,攻擊者無法使用電子郵件進行這項攻擊;只能透過網站利用此項弱點。使用者於瀏覽網站時若特別留意,或避免造訪不知名或不受信任的網站,可減少受此弱點影響的風險。

發生的原因

這個弱點是因為 Microsoft XML 核心服務中的 XMLHTTP 控制項未遵守「Internet Explorer 安全性區域」的限制。這使得一個網頁得以將使用者本機系統上的檔案指定為 XML 資料來源,藉此讀取檔案。

解決方案

如果要解決這個問題,請取得最新版的 Microsoft SQL Server 2000。如需其他詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
290211 INF:如何取得最新版 SQL Server 2000 Service Pack
您可以從「Microsoft 下載中心」下載下列檔案:
摺疊此圖像展開此圖像
下載
立即下載 Msxml4qfe.exe
發行日期:2002 年 2 月 21 日

如需有關如何下載 Microsoft 支援檔案的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
119591 如何從線上服務取得 Microsoft 支援檔案
Microsoft 已對這個檔案做過病毒的掃描。Microsoft 是利用發佈當日的最新病毒偵測軟體來掃描檔案,看看有沒有病毒感染。檔案會儲存在安全的伺服器上,以避免任何未經授權的更改。 此修正程式的英文版具有下列表格中所列之檔案屬性 (或更新):
摺疊此表格展開此表格
日期版本大小檔名平台
07-Feb-20024.00.9406.01,229,312Msxml4.dllx86
07-Feb-20024.00.9406.044,544Msxml4a.dllx86
07-Feb-20024.00.9406.082,432Msxml4r.dllx86

狀況說明

Microsoft 已確認這項問題將在 Microsoft XML 4.0 中造成一定程度的安全性弱點。 本問題在 Microsoft SQL Server 2000 Service Pack 3 中獲得第一次修正。本問題在 Microsoft XML 4.0 Service Pack 1 中獲得第一次修正。

如果要下載最新版的 MSXML,請造訪下列 Microsoft 網站:
http://www.microsoft.com/downloads/details.aspx?FamilyID=87925008-ec5a-4ff2-a7ef-549ab0394eda&DisplayLang=en

其他相關資訊

受影響的 MSXML 版本隨附在數個產品中。您應該套用補充程式到下列任何 Microsoft 產品的系統:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML 也可以個別安裝。MSXML 以 DLL 的形式,安裝在 Windows 作業系統資料夾的 System32 子資料夾。在多數系統上這可能是 C:\Windows 或 C:\winnt。如果您在 System32 資料夾中有下列任何或所有檔案,您需要這個補充程式:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
如果您只有 Msxml.dll,您不需要此補充程式,因為這是較早未受影響的版本。

重要請注意這個補充程式的 Hotfix 安裝程式不包含解除安裝功能。

?考

如需更多有關這個弱點的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/technet/security/bulletin/MS02-013.mspx

屬性

文章編號: 317244 - 上次校閱: 2006年12月18日 - 版次: 8.0
這篇文章中的資訊適用於:
  • Microsoft XML Core Services 4.0
關鍵字:?
kbqfe kbhotfixserver kbbug kbfix kbie600presp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbsqlserv2000presp3fix kbsqlserv2000sp3fix kbwin2000presp3fix kbwin2000sp3fix kbwinxpsp1fix KB317244
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com