MS02-008: XMLHTTP-Steuerelement in MSXML 2.6 kann Zugriff auf lokale Dateien zulassen

Artikel-ID: 318202
Maschinell übersetzter ArtikelHinweis: Dies ist ein maschinell übersetzter Artikel.
Weitere Informationen zu dieser Anfälligkeit finden Sie unter die folgenden Artikelnummern klicken, um den Artikel in der Microsoft Knowledge Basis:
317244
(http://support.microsoft.com/kb/317244/EN-US/ )
MS02-008: XMLHTTP-Steuerelement in MSXML 4.0 kann Zugriff auf lokale Dateien zulassen
318203
(http://support.microsoft.com/kb/318203/EN-US/ )
MS02-008: XMLHTTP-Steuerelement in MSXML 3.0 kann Zugriff auf lokale Dateien zulassen
Alles erweitern | Alles schließen

Problembeschreibung

Ein Sicherheitsproblem vorhanden ist, könnte Ein Angreifer Dateien auf dem lokalen Dateisystem eines Benutzers zu lesen, besucht ein speziell fehlerhaft formatierte Website.

Der Angreifer wäre nicht hinzufügen, Ändern oder Löschen von Dateien. Darüber hinaus würde der Angreifer nicht verwenden E-Mail zum Durchführen dieses Angriffs; die Sicherheitsanfälligkeit kann nur ausgenutzt werden, nach Möglichkeit einer Website. Kunden, seien Sie vorsichtig beim Browsen und vermeiden Sie besuchen Unbekannter oder nicht vertrauenswürdigen Sites sind durch diese Sicherheitsanfälligkeit weniger gefährdet.
Zum Anfang | Ihr Feedback an uns

Ursache

Die Sicherheitsanfälligkeit, da die XMLHTTP-Steuerelement in der Microsoft XML Core Services berücksichtigen nicht die Internet Explorer-Sicherheit Einschränkungen der Zone. Dies kann eine Webseite wählen eine Datei auf einen Benutzer lokale als eine XML-Datenquelle als Mittel zum Lesen der Datei System.
Zum Anfang | Ihr Feedback an uns

Lösung

Ein unterstützter Hotfix ist inzwischen von Microsoft erhältlich, aber es sollte nur zur Behebung des Problems, der dieser Artikel beschreibt. Daher nur bei Systemen, die Sie ermitteln von Angriffen bedroht werden angewendet. Bewerten Sie den Computer hinsichtlich physischer Verfügbarkeit, Netzwerk- und Internetverbindungen und weiterer Faktoren, um das Ausmaß des Risikos auf den Computer zu ermitteln. Finden Sie in der zugeordneten Microsoft Security Bulletin
(http://www.microsoft.com/technet/security/bulletin/MS02-008.mspx)
das Ausmaß des Risikos zu ermitteln. Dieser Hotfix wird möglicherweise weiteren Tests unterzogen. Wenn der Computer ausreichend gefährdet ist, wird empfohlen, diesen Hotfix sofort zu installieren.

Um dieses Problem sofort beheben möchten, laden Sie den Hotfix gemäß die Anweisungen weiter unten in diesem Artikel, oder wenden Sie sich an Microsoft Product Support Services, um den Hotfix zu erhalten. Eine vollständige Liste der Microsoft Product Support Services Telefonnummern und Informationen über Supportkosten finden Sie auf der folgenden Microsoft-Website:
http://support.Microsoft.com/contactus/?WS=Support
(http://support.microsoft.com/contactus/?ws=support)
Hinweis In besonderen Fällen können Gebühren, die normalerweise für Support-Anrufe anfallen abgebrochen werden, wenn ein Microsoft-Supportmitarbeiter feststellt, dass ein bestimmtes Update Ihr Problem beheben kann. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die dem fraglichen Update nicht qualifizieren. Die folgende Datei steht für aus dem Microsoft Download Center herunterladen:
Bild minimierenBild vergrößern
Download
Q318202_MSXML26_x86_en.exe jetzt downloaden
(http://www.microsoft.com/downloads/details.aspx?familyid=d23f5db3-3719-4b4e-ad77-ebf2033f84c7&displaylang=en)
Datum der Freigabe: 21. Februar 2002

Weitere Informationen zum Herunterladen Microsoft Support-Dateien, klicken Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base:
119591
(http://support.microsoft.com/kb/119591/EN-US/ )
So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Die von Microsoft verwendeten aktuelle Virenerkennungssoftware, die am Tag verfügbar war, dass die Datei gebucht wurde. Die Datei wird auf Servern mit verstärkter Sicherheit gespeichert, die an unterstützen verhindern Sie nicht autorisierten Änderungen an der Datei. Die englische Version dieses Updates muss der folgende Dateiattribute oder höher:
   Date         Version     Size     File name     Platform
   --------------------------------------------------------
   08-Jan-2002  8.2.8307.0  689,424  Msxml2.dll    x86
Hinweis Um den Patch im Hintergrund und ohne Neustart zu installieren, verwenden Sie die folgenden Befehlszeilenoptionen: / q: a/c: "Dahotfix/q / n"
Zum Anfang | Ihr Feedback an uns

Status

Microsoft hat bestätigt, dass dieses Problem in gewissem Umfang zu einer Sicherheitsanfälligkeit in führen kann Microsoft XML 2.0.
Zum Anfang | Ihr Feedback an uns

Weitere Informationen

Betroffene Versionen von MSXML Schiff im Rahmen von mehreren Produkte. Sie sollten den Patch auf Systemen mit einem der folgenden installieren. Microsoft-Produkte:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML kann auch separat installiert werden. MSXML installiert ist, als ein DLL in den Unterordner System32 des Windows-Betriebssystem-Ordner. Bei den meisten Dadurch steigt die Wahrscheinlichkeit-Systemen werden C:\Windows oder C:\winnt. Wenn Sie eine oder alle der haben. die folgenden Dateien im Ordner "System32", benötigen Sie den Patch:
  • Msxml2.dll
  • MSXML3.dll
  • Datei "Msxml4.dll"
Wenn Sie nur Msxml.dll haben, brauchen Sie nicht den Patch da Dies ist eine Version für ältere, nicht betroffen.

Weitere Informationen zu diesem Schwachstelle finden Sie unter der folgenden Microsoft-Website:
http://www.Microsoft.com/TechNet/Security/Bulletin/MS02-008.mspx
(http://www.microsoft.com/technet/security/bulletin/MS02-008.mspx)
Um diesen Hotfix im unbeaufsichtigten Modus installieren möchten, verwenden Sie Folgendes Befehlszeilenargumente.

Unbeaufsichtigte Installation von Hotfix beide Anzeigen von "Hotfix Dialogfeld extrahieren" und Anzeigen von Final Neustart Dialogfeld: 
Q318202_MSXML20_x86.exe /q /c:"dahotfix.exe /q"
Unbeaufsichtigte komplett automatische Installation von Hotfix jedoch ein Neustart-Dialogfeld angezeigt: 
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q"
Unbeaufsichtigte komplett automatische Installation von Hotfix mit final Dialogfeld für den Neustart unterdrückt: 
Q318202_MSXML20_x86.exe /q:a /c:"dahotfix.exe /q /n"
Zum Anfang | Ihr Feedback an uns

Eigenschaften

Artikel-ID: 318202 - Geändert am: Sonntag, 28. Oktober 2012 - Version: 6.0
Keywords: 
kbqfe kbhotfixserver kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbmt KB318202 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 318202
(http://support.microsoft.com/kb/318202/en-us/ )
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Zum Anfang | Ihr Feedback an uns

Ihr Feedback an uns

 
Zum AnfangZum Anfang