MS02-008: Ovládací prvek XMLHTTP ve službě MSXML 2.6 může umožnit přístup k místním souborům

Překlady článku Překlady článku
ID článku: 318202 - Produkty, které se vztahují k tomuto článku.
Další informace o této chybě zabezpečení získáte v následujících článcích znalostní báze Microsoft Knowledge Base:
317244MS02-008: Ovládací prvek XMLHTTP ve službě MSXML 4.0 může umožnit přístup k místním souborům
318203MS02-008: Ovládací prvek XMLHTTP ve službě MSXML 3.0 může umožnit přístup k místním souborům
Rozbalit všechny záložky | Minimalizovat všechny záložky

Příznaky

Existuje chyba zpřístupnění informací, která může útočníkovi umožnit čtení souborů v lokálním souborovém systému uživatele, který navštívil speciálně vytvořený nebezpečný web.

Útočník by nemohl přidávat, měnit nebo odstraňovat soubory. Útočník by navíc k tomuto útoku nemohl použít e-mail, tuto chybu zabezpečení lze zneužít pouze prostřednictvím webu. Zákazníci, kteří při procházení zachovávají opatrnost a vyhýbají se návštěvám neznámých nebo nedůvěryhodných webů, jsou touto chybou zabezpečení méně ohroženi.

Příčina

Tato chyba zabezpečení existuje, protože ovládací prvek XMLHTTP ve službě Microsoft XML Core Services nerespektuje omezení zón zabezpečení aplikace Internet Explorer. To umožní webové stránce určit v místním souboru uživatele soubor jako datový zdroj XML, který použije jako nástroj ke čtení dat.

Řešení

Společnost Microsoft má nyní k dispozici podporovanou opravu hotfix, která je však určena pouze k opravě problému popsaného v tomto článku. Použijte ji pouze u systémů, které jsou podle vašeho názoru ohroženy útokem. Vyhodnoťte fyzickou dostupnost počítače, možnost připojení k síti a k Internetu a další faktory určující míru ohrožení počítače. Viz přidružené Microsoft Security Bulletin pomoci určit stupeň rizika. Tato oprava hotfix může být dále testována. Je-li váš počítač výrazně ohrožen, doporučujeme použít tuto opravu hotfix ihned.

Potřebujete-li odstranit tento problém okamžitě, stáhněte si opravu hotfix (podle pokynů uvedených dále v tomto článku) nebo se obraťte na oddělení technické podpory společnosti Microsoft, kde můžete tuto opravu hotfix získat. Úplný seznam telefonních čísel služeb technické podpory společnosti Microsoft a informace o cenách technické podpory naleznete na tomto webu společnosti Microsoft:
http://support.microsoft.com/contactus/?ws=support
Poznámka: Poplatky, které je třeba obvykle zaplatit za telefonní hovory, mohou být stornovány, jestliže pracovník technické podpory společnosti Microsoft zjistí, že oznámený problém lze vyřešit konkrétní aktualizací. Další dotazy a žádosti o odbornou pomoc, které se netýkají této zvláštní opravy, podléhají běžným sazbám za poskytnutí odborné pomoci. Na webu služby Stažení softwaru je k dispozici ke stažení následující soubor:
Zmenšit tento obrázekZvětšit tento obrázek
Download
Download Q318202_MSXML26_x86_en.exe now
Datum vydání: 21. února 2002

Další informace o tom, jak stahovat soubory podpory společnosti Microsoft, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
119591Jak získat soubory podpory společnosti Microsoft ze serverů služeb online
Microsoft tento soubor zkontroloval na výskyt virů. Společnost Microsoft použila aktuální antivirový software, který byl k dispozici v den uveřejnění tohoto článku. Soubor je uložený na zabezpečených serverech neumožňujících neoprávněné změny souborů. Anglická verze této opravy má následující nebo vyšší atributy souborů:
   Date         Version     Size     File name     Platform
   --------------------------------------------------------
   08-Jan-2002  8.2.8307.0  689,424  Msxml2.dll    x86
				
Poznámka: Chcete-li opravu nainstalovat bez zásahu uživatele a bez restartování počítače, použijte následující přepínače: /q: / c: "dahotfix /q /n"

Prohlášení

Společnost Microsoft potvrzuje, že tento problém může určitým způsobem ohrozit zabezpečení Microsoft XML 2.0.

Další informace

Ohrožené verze služby MSXML se dodávají jako součást několika produktů. Opravu je třeba použít v systémech s některým z následujících produktů společnosti Microsoft:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • 2000 Microsoft SQL Server
Služba MSXML může být nainstalována také samostatně. Služba MSXML je nainstalována jako knihovna DLL v podsložce System32 operačního systému Windows. Ve většině systémů se bude pravděpodobně jednat o složky C:\Windows nebo C:\winnt. Pokud jsou ve složce System32 některé nebo všechny následující soubory, bude třeba použít opravu:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Pokud máte pouze soubor Msxml.dll, není oprava potřeba, protože se jedná o starší verzi, která není ohrožena.

Další informace o této chybě zabezpečení naleznete na následujícím webu:
http://www.microsoft.com/technet/security/bulletin/MS02-008.mspx
V režimu bezobslužné instalaci této opravy hotfix, použijte následující argumenty příkazového řádku.

Bezobslužné instalace opravy hotfix zobrazení "extrahování dialogové okno opravy hotfix" i zobrazení restartování konečné dialogové okno:
Q318202_MSXML20_x86.exe /q /c:"dahotfix.exe /q"
				
bezobslužný zcela bezobslužnou instalaci opravy hotfix, ale zobrazuje dialogové okno poslední restartování:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q"
				
bezobslužný zcela bezobslužnou instalaci opravy hotfix s restartování konečné dialogové okno potlačeny:
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q /n"
				

Vlastnosti

ID článku: 318202 - Poslední aktualizace: 7. dubna 2006 - Revize: 6.2
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft XML Parser 2.6
Klíčová slova: 
kbmt kbqfe kbhotfixserver kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB318202 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:318202

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com