Artikel-ID: 318202 - Geändert am: Montag, 17. April 2006 - Version: 4.0

MS02-008: XMLHTTP-Steuerelement in MSXML 2.6 kann Zugriff auf lokale Dateien zulassen

Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
318202  (http://support.microsoft.com/kb/318202/EN-US/ ) MS02-008: XMLHTTP Control in MSXML 2.6 Can Allow Access to Local Files
Weitere Informationen über diese Sicherheitsanfälligkeit finden Sie in folgenden Artikeln der Microsoft Knowledge Base:
317244  (http://support.microsoft.com/kb/317244/DE/ ) MS02-008: XMLHTTP-Steuerelement in MSXML 4.0 kann Zugriff auf lokale Dateien zulassen
318203  (http://support.microsoft.com/kb/318203/DE/ ) MS02-008: XMLHTTP-Steuerelement in MSXML 3.0 kann Zugriff auf lokale Dateien zulassen
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Problembeschreibung

Es besteht ein Sicherheitsproblem, das es einem Angreifer ermöglichen könnte, Dateien auf dem lokalen Dateisystem eines Benutzers zu lesen, wenn dieser eine speziell fehlerhaft formatierte Website besucht.

Der Angreifer wäre allerdings nicht in der Lage, Dateien hinzuzufügen, zu ändern oder zu löschen. Auch wäre es dem Angreifer nicht möglich, diesen Angriff per E-Mail auszuführen. Diese Sicherheitsanfälligkeit kann nur über eine Website ausgenutzt werden. Kunden können das mit dieser Sicherheitsanfälligkeit verbundene Risiko reduzieren, indem sie beim Verwenden des Internets Vorsicht walten lassen und keine unbekannten oder nicht vertrauenswürdigen Sites besuchen.
Zum Anfang

Ursache

Diese Sicherheitsanfälligkeit tritt auf, da das XMLHTTP-Steuerelement in den Microsoft XML Core Services die Einstellungen und Einschränkungen der Sicherheitszonen in Internet Explorer fehlerhaft interpretiert. Dadurch kann über eine Webseite eine Datei auf dem lokalen System des Benutzers als XML-Datenquelle angegeben und somit gelesen werden.
Zum Anfang

Lösung

Ein Update zur Behebung dieses Problems ist inzwischen von Microsoft erhältlich; dieses Update wurde jedoch ausschließlich zur Behebung des in diesem Artikel beschriebenen Problems entwickelt. Es sollte nur auf Systemen installiert werden, die von einem Angriff dieser Art betroffen sein könnten. Überprüfen Sie Ihren Computer hinsichtlich physischer Verfügbarkeit, Netzwerk- und Internetverbindungen sowie weiterer Faktoren, um herauszufinden, inwieweit Ihr Computer von diesem Problem bedroht ist. Das entsprechende Microsoft Security Bulletin (http://www.microsoft.com/technet/security/bulletin/MS02-008.asp) kann Sie dabei unterstützen, diese Gefahr einzuschätzen. Dieses Update wird unter Umständen zu einem späteren Zeitpunkt weiteren Tests unterzogen. Microsoft empfiehlt, dieses Update sofort anzuwenden, falls Ihr System von diesem Problem betroffen sein könnte.

Wenn Sie das Problem sofort beheben möchten, downloaden Sie das Update wie im Folgenden beschrieben, oder wenden Sie sich an Microsoft Product Support Services, um das Update zu erhalten. Die Telefonnummern des Technischen Supports lauten:

Deutschland: 0180 567 23 30
Österreich: 01 50222 23 30
Schweiz: 0848 80 23 30

Alternativ erhalten Sie auch eine vollständige Liste mit Telefonnummern der Microsoft Product Support Services unter der folgenden Adresse im World Wide Web:
http://support.microsoft.com/default.aspx?scid=fh;DE;CNTACTMS (http://support.microsoft.com/default.aspx?scid=fh;de;cntactms)


Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:
Bild minimierenBild vergrößern
Download
Q318202_MSXML26_x86_en.exe jetzt downloaden (http://www.microsoft.com/windows/ie/downloads/critical/q317244/download.asp)
Datum der Freigabe: 21. Februar 2002

Weitere Informationen zum Downloaden von Microsoft Support-Dateien finden Sie in folgendem Artikel der Microsoft Knowledge Base:
119591  (http://support.microsoft.com/kb/119591/DE/ ) So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden. Die englische Version dieses Updates sollte die folgenden Dateiattribute (oder höher) aufweisen: 
   Date         Version     Size     File name     Platform
   --------------------------------------------------------
   08-Jan-2002  8.2.8307.0  689,424  Msxml2.dll    x86
Hinweis: Verwenden Sie die folgenden Befehlszeilenoptionen, um das Update im Hintergrund und ohne Neustart zu installieren: /q:a /c:"dahotfix /q /n"
Zum Anfang

Status

Microsoft hat bestätigt, dass dieses Problem in gewissem Maße ein Sicherheitsproblem in Microsoft XML 2.0 zur Folge haben kann.
Zum Anfang

Weitere Informationen

Betroffene Versionen von MSXML werden als Bestandteil verschiedener Produkte ausgeliefert. Das Update sollte auf Systemen angewendet werden, auf denen eines der folgenden Microsoft-Produkte installiert ist:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML kann auch separat installiert werden. MSXML wird in diesem Fall als DLL im Unterordner "System32" des Ordners für das Windows-Betriebssystem installiert. Bei den meisten Systemen handelt es sich dabei um den Ordner "C:\Windows" oder "C:\winnt". Wenn sich in Ihrem Ordner "System32" eine oder alle der folgenden Dateien befinden, benötigen Sie das Update:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Wenn sich lediglich die Datei "Msxml.dll" in dem Ordner befindet, benötigen Sie das Update nicht, da es sich dabei um eine ältere Version handelt, die nicht betroffen ist.

Weitere Informationen zu dieser Anfälligkeit finden Sie auf folgender Website von Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-008.asp (http://www.microsoft.com/technet/security/bulletin/MS02-008.asp)
Verwenden Sie die folgenden Befehlszeilenargumente, um diesen Hotfix im unbeaufsichtigten Modus zu installieren.

Unbeaufsichtigte Installation des Hotfixes, bei der sowohl ein Dialogfeld für für die Extrahierung des Hotfixes als auch ein Dialogfeld für den Neustart angezeigt wird: 
Q318202_MSXML20_x86.exe /q /c:"dahotfix.exe /q"
Unbeaufsichtigte, vollständig im Hintergrund ablaufende Installation des Hotfixes, bei der ein abschließendes Dialogfeld für den Neustart angezeigt wird: 
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q"
Unbeaufsichtigte, vollständig im Hintergrund ablaufende Installation des Hotfixes, bei der die Anzeige des abschließenden Dialogfeldes für den Neustart unterdrückt wird: 
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q /n"
Zum Anfang
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft XML Parser 2.6
Zum Anfang
Keywords: 
kbqfe kbhotfixserver kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB318202
Zum Anfang
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

SPRACHE AUSWÄHLEN